Phishing nog altijd belangrijkste methode om systemen binnen te dringen

Dit blijkt uit onderzoek van Cisco Talos. Opmerkelijk is dat phishingaanvallen via legitieme accounts dit kwartaal vooral tot doel hadden om nog meer legitieme inloggegevens buit te maken. Via phishing worden slachtoffers naar valse inlogpagina’s gestuurd waar zowel de gebruikersgegevens als de tokens voor multifactorauthenticatie worden onderschept. Nadien proberen cybercriminelen via spearphishing de gegevens van nog andere medewerkers te ontfutselen. De afwezigheid van een betalingsverzoek maakt zulke e-mails volgens Cisco Talos minder verdacht, waardoor de kans op een succesvolle aanval mogelijk toeneemt.

Het gebruik van gecompromitteerde geldige e-mailaccounts wordt doorgaans geassocieerd met Business Email Compromise-aanvallen. De observaties suggereren dat cybercriminelen ook het verhandelen van buitgemaakte inloggegevens als winstgevend beschouwen, naast andere cybercriminele activiteiten zoals financiële afpersing of diefstal van bedrijfsgegevens.

Nieuwe ransomware-actoren actief

Ransomware was dit kwartaal goed voor de helft van alle onderzoeksopdrachten, vergelijkbaar met vorig kwartaal. Met Qilin en Medusa doken er wel nieuwe spelers op, en ook de Chaos-groep was prominent dit kwartaal.

Cisco Talos verwacht dat met name Qilin zijn activiteiten op korte termijn zal opvoeren, omdat ze tot nu ongeregistreerde technieken inzetten. Qilin maakt gebruik van de command-and-control-infrastructuur van Backblaze en van de datatransfertool CyberDuck. Die exfiltratietechniek werd eerder nog niet in verband gebracht met deze of verwante dreigingsactoren. Berichten op de dataleksite van Qilin geven een verdubbeling van de hacks weer sinds februari 2025, toen de door Noord-Korea gesponsorde cybergroep Moonstone Sleet Qilin-ransomware is gaan inzetten. Sommige cyberbeveiligers zijn van mening dat filialen van RansomHub (ransomware-as-a-service) zich bij Qilin hebben aangesloten. Hun dataleksite ging begin april 2025 offline.

Aanvallen met verouderde scripttaal

Cisco Talos merkte ook op dat cybercriminelen in een derde van de ransomware-aanvallen gebruikmaakten van een oude versie van de scripttaal PowerShell. Versie 1.0 heeft niet de ingebouwde beveiligingsfuncties van de nieuwere versies, zoals de registratie van uitgevoerde scripts en transcriptie van in- en uitvoersessies of een AMSI-interface waarmee antivirustools PowerShell-code eerst kunnen scannen.

Bovendien zijn sommige tools voor malwaredetectie ontworpen om gedrag te bewaken dat typisch is voor nieuwere PowerShell-versies. In een van de Medusa-incidenten kon de aanvaller met de oude versie 1.0 de kernmap van het besturingssysteem (C:\Windows) toevoegen aan de uitsluitingslijst van de antivirusoplossing, waardoor de verdediging ernstig in gevaar kwam. Cisco Talos adviseert organisaties daarom PowerShell 5.0 of hoger te gebruiken op alle systemen.

Onderwijs vaakst aangevallen

Wereldwijd was onderwijs dit kwartaal de meest getroffen branche, een belangrijke verschuiving ten opzichte van vorig kwartaal toen Cisco Talos geen aanvallen zag op onderwijsorganisaties. Ook in de tweede jaarhelft van vorig jaar - en eerder in april - kreeg de onderwijssector de meeste ransomware-aanvallen te verduren.

Meer dan 40 procent van de opdrachten die Cisco Talos dit jaar kreeg dit kwartaal betrof problemen met multifactorauthenticatie (MFA), die verkeerd geconfigureerd, afwezig of omzeild was. Cisco Talos raadt aan om MFA in te schakelen maar ook te blijven monitoren. Zo vermijden organisaties dat bypass-codes worden misbruikt, dat nieuwe apparaten en accounts worden toegevoegd om MFA te omzeilen, of dat de MFA-verplichting wordt verwijderd voor bepaalde accounts.

Jan Heijdra, Field CTO Security bij Cisco Nederland: “Phishingcampagnes die gericht zijn op het buitmaken van nog meer geldige aanmeldgegevens zijn vaak een teken dat criminelen zich voorbereiden op grotere aanvallen, bijvoorbeeld met ransomware. Voor Nederlandse organisaties blijft het daarom cruciaal om zich goed te beschermen. Multifactorauthenticatie is daarbij nog altijd een belangrijk aandachtspunt, maar een web application firewall met flowlogging helpt ook bij realtime monitoring en snelle detectie van bedreigingen. Snelheid is en blijft een doorslaggevende factor in cybersecurity.”