Meer datadiefstal en ransomware in tweede kwartaal

Dit blijkt uit cijfers uit het Quarterly Report van Cisco Talos Incident Response (Talos IR). De afgelopen drie maanden reageerde Cisco Talos op een groeiend aantal incidenten van datadiefstal en afpersing waarbij geen gebruik is gemaakt van het versleutelen van bestanden of het inzetten van ransomware. Dit aanvalstype is met 25 procent gestegen sinds het vorige kwartaal, waardoor het de meest waargenomen bedreiging was. Bij dit type aanval stelen kwaadwillende actoren gegevens van slachtoffers en dreigen deze te lekken of te verkopen tenzij het slachtoffer voldoet aan de gestelde eisen, waarbij het inzetten van ransomware of het versleutelen van gegevens niet nodig is. Dit verschilt van de dubbele-afpersingsmethode van ransomware, waarbij tegenstanders bestanden stelen en versleutelen en vervolgens betaling eisen van slachtoffers om een ontsleutelingssleutel te ontvangen.

Ransomware is meest waargenomen dreiging

Ransomware was de op een na meest waargenomen dreiging in dit kwartaal en goed voor 17 procent van de incidenten. Dit is een lichte stijging ten opzichte van de 10 procent van het vorige kwartaal. In het tweede kwartaal zijn de bekende LockBit- en Royal-ransomware-families en de nieuwe 8base- en MoneyMessage-families veelvuldig waargenomen.

In lijn met de bevindingen van het vorige kwartaalrapport van Cisco Talos blijkt dat de gezondheidszorg het vaakst getroffen wordt door cyberaanvallen. De sector is goed voor 22 procent van alle incidentrespons-opdrachten. Na de gezondheidszorgsector werden de financiële sector en de nutsbedrijven (elektriciteit, olie en gas) het meest aangevallen.

Vaak gecompromitteerde inloggegevens gebruikt

Bij de meeste incidenten waar Talos IR dit kwartaal op reageerde, kregen cybercriminelen aanvankelijk toegang door misbruik te maken van gecompromitteerde inloggegevens om toegang te krijgen tot geldige accounts. Het gebruik van geldige accounts werd waargenomen in bijna 40 procent van alle incidenten. Dit is een stijging van 22 procent ten opzichte van Q1 2023.

Het is moeilijk te zeggen hoe aanvallers de gecompromitteerde inloggegevens hebben verkregen die zijn gebruikt om toegang te krijgen tot geldige accounts. Er zijn verschillende manieren waarop inloggegevens gecompromitteerd kunnen raken, zoals datalekken bij derden, informatie-stelende malware zoals Redline en phishing-campagnes. De kans dat inloggegevens in handen van een aanvaller komen is vooral groot wanneer werknemers dezelfde inloggegevens voor meerdere accounts gebruiken.

Naast het gebruik van geldige accounts om toegang te krijgen tot data werd er bij meer dan 50 procent van de aanvallen in dit kwartaal PowerShell gebruikt, Microsoft’s script platform voor het automatiseren van taken en voor configuratiemanagement. Dit dynamische programma blijft populair bij cybercriminelen, onder andere door onzichtbaarheid, gemak en uitgebreide IT-beheermogelijkheden.

Zwakke punten in beveiliging

Cisco Talos benadrukt nadrukkelijk het belang van MFA, want het ontbreken of onjuist implementeren van multifactorauthenticatie (MFA) in kritieke services was verantwoordelijk voor meer dan 40 procent van de incidenten waarop Cisco Talos dit kwartaal reageerde. In bijna 40 procent van de gevallen gebruikten cybercriminelen gecompromitteerde inloggegevens om toegang te krijgen tot geldige accounts, waarvan 90 procent geen MFA had. In sommige gevallen is MFA omzeild door middel van uitputtingsaanvallen. Hierbij probeert de aanvaller herhaaldelijk zich te verifiëren op een gebruikersaccount met geldige inloggegevens, waardoor de slachtoffers worden overspoeld met MFA pushmeldingen. De aanvaller hoopt dat de slachtoffers uiteindelijk toegeven en zich succesvol zullen verifiëren.

“De bevindingen van Cisco Talos over de cyberdreigingen van Q2 benadrukken het belang van sterke wachtwoorden en het inschakelen van MFA (Multi-Factor Authentication) waar mogelijk,” aldus Jan Heijdra, security specialist bij Cisco Nederland. “Datadiefstal en ransomware aanvallen komen steeds vaker voor in verschillende sectoren. Het is en blijft daarom voor iedereen belangrijk om alert te blijven op verdachte digitale activiteiten.”