Phishing opnieuw populaire aanvalsmethode van cybercriminelen

Phishing was verantwoordelijk voor 50% van alle cyberaanvallen die door Cisco Talos werden geanalyseerd. Dat is een opvallende stijging ten opzichte van het voorgaande kwartaal, toen phishing minder dan 10% van de incidenten uitmaakte. Telefonische oplichting, ook wel bekend als voice phishing of vishing, was goed voor meer dan 60% van alle phishing-gerelateerde incidenten.

De aanvallen waren niet alleen gericht op het stelen van gegevens, maar vooral op het overnemen van gebruikersaccounts en het verkrijgen van toegang tot netwerken van slachtoffers. Waar phishing in het verleden vooral werd ingezet om vertrouwelijke informatie te verkrijgen en geld af te persen, zien we nu een verschuiving naar meer complexe en gerichte aanvallen.

In een opvallende vishing-campagne wisten aanvallers slachtoffers via de telefoon te misleiden. Ze overtuigden hen om toegang tot hun computer te geven, beveiligingstools uit te schakelen en specifieke software te installeren. Zo verkregen cybercriminelen permanente toegang en slaagden ze erin om ongemerkt te opereren. In andere gevallen werd phishing gebruikt om toegangstokens van gebruikers te stelen, waarmee aanvallers langdurig toegang tot gecompromitteerde netwerken konden behouden.

Vishing + ransomware = nieuwe aanvalscombinatie

Bij ruim de helft van alle incidenten speelde ransomware of pre-ransomware een rol. Dat is twintig procent meer dan in het voorgaande kwartaal. In meer dan 60% van de gevallen werd de ransomware-aanval voorafgegaan door een vishing-campagne. Die aanvallen waren vooral gericht op bedrijven in de industriële en bouwsector.

De aanval begon meestal met massale spamberichten, waarna criminelen via Microsoft Teams contact zochten met slachtoffers. Ze overtuigden hen om Microsoft Quick Assist te starten, waardoor aanvallers vervolgens een tool konden installeren om systeemgegevens te verzamelen en permanente toegang tot het apparaat te krijgen. Aanvankelijk werd hiervoor BlackBasta-ransomware gebruikt, maar later schakelden criminelen over op Cactus.

Nieuwe grote ransomware-speler: Crytox met HRSword Tool

In dit eerste kwartaal zag Cisco Talos een verhoogde activiteit van de Crytox-groep en de HRSword-tool, die wordt gebruikt om EDR-beveiliging (endpoint detection and response) uit te schakelen. Crytox versleutelt lokale en netwerkschijven, waarna slachtoffers een ransomwaremail ontvangen met een ultimatum van vijf dagen om losgeld over te maken. De groep gebruikt soms ook uTox-messenger om contact op te nemen met slachtoffers.