Cisco Talos - cybercriminelen misbruiken volop zakelijke emails

Dit blijkt uit het kwartaalonderzoek van Cisco Talos. Bij maar liefst 46 procent van alle cyberaanvallen die werden waargenomen in het eerste kwartaal van 2024 werd BEC toegepast. BEC biedt tegenstanders het voordeel dat ze zich kunnen voordoen als bekende relaties waardoor de mails van een vertrouwde afzender afkomstig lijkt te zijn. Het vergemakkelijkt interne spearphishing-aanvallen die traditionele externe verdedigingen kunnen omzeilen. Spearphishing is zeer gerichte pishing. BEC-aanvallen zijn vaak financieel gedreven, gericht op het misleiden van organisaties om geld of gevoelige informatie over te maken naar cybercriminelen.

Productiebedrijven waren dit kwartaal het meest in het vizier, op de voet gevolgd door onderwijsinstellingen. Ook eind vorig jaar waren dit de populairste doelwitten. In de maakindustrie zag Talos liefst 20 procent meer aanvalspogingen. Cybercriminelen weten dat operationele downtime een uitdaging vormt voor productiebedrijven. Talos zag onder meer financieel gedreven aanvallen, zoals BEC en ransomware, maar ook brute force-aanvallen op VPN-infrastructuur.

Lichte daling van ransomware

Ransomware was dit kwartaal goed voor 17 procent van de aanvallen, een daling van 11 procent ten opzichte van het voorgaande kwartaal. Talos IR heeft dit kwartaal voor het eerst nieuwe varianten van Akira- en Phobos-ransomware waargenomen, twee ransomware-as-a-service (RaaS)-modellen.

Akira werd begin 2023 ontdekt en maakt gebruik van een dubbel afpersingsschema waarbij gegevens worden geëxfiltreerd voordat ze worden versleuteld. Ze richten zich op kleine tot middelgrote bedrijven in verschillende branches en landen.

Phobos dook eind 2018 voor het eerst op. In tegenstelling tot andere ransomwarefamilies zijn er veel varianten van Phobos, zoals Eking, Eight, Elbie, Devos en Faust. Dit kwartaal ontdekte Talos IR voor het eerst de BackMyData-variant. Er is weinig informatie bekend over het bedrijfsmodel van Phobos, maar Talos meent dat de ransomwarefamilie wordt beheerd door een centrale autoriteit, aangezien er slechts één decryptiesleutel is voor alle waargenomen aanvallen.

Zwakke plek in de beveiliging

Voor het eerst waren gebruikers die vreemde MFA-pushmeldingen accepteerden de meest waargenomen zwakke plek in de beveiliging, goed voor 25 procent van de onderzochte gevallen dit kwartaal. Het gebrek aan een goede MFA-implementatie volgde op de voet en was goed voor 21 procent, een daling van 44 procent ten opzichte van het voorgaande kwartaal.

In zijn kwartaalrapport vermeldt Talos ook enkele opvallende cijfers uit de aanvalsdatabase MITRE ATT&CK. De onderzoekers stelden vast dat software voor toegang op afstand, zoals SplashTop en AnyDesk, dit kwartaal in 17 procent van aanvallen wordt toegepast.

“Dat is een daling met liefst twintig procent. Anderzijds is misbruik van diensten op afstand, zoals RDP, SSH, SMB en WinRM, dit kwartaal meer dan verdubbeld tot bijna 60 procent van de cases. MFA instellen, ook voor remote access, blijft de meest effectieve methode om compromissen op afstand te voorkomen”, zegt Jan Heijdra, Field CTO Security bij Cisco Nederland. “We raden ook aan om waarschuwingen in te stellen voor enkelvoudige verificatie om snel potentiële hiaten te identificeren, en om nummermatching te overwegen als extra beveiligingslaag om te voorkomen dat gebruikers kwaadaardige MFA-pushmeldingen accepteren.”

Het uitgebreide kwartaalrapport leest u hier. Een samenvatting kunt u vinden in de bijlage.