Aantal cyberaanvallen via webshells stijgt

Dit meldt Cisco op basis van de driemaandelijkse dreigingsanalyse van Cisco Talos. Volgens het rapport waren openbare webapplicaties in deze periode een belangrijk doelwit van cyberdreigingen. Bijna de helft van alle aanvallen (45%) gebruikt webapplicaties om toegang te krijgen tot systemen. In vergelijking met het vorige kwartaal is dit een stijging van 15%.

Webshells vaak ingezet

Veel van deze cyberaanvallen maakten gebruik van webshells, waarmee servers die via het internet toegankelijk waren, werden gecompromitteerd. Een webshell is een kwaadaardig script dat zich voordoet als een legitiem bestand terwijl het een achterdeur naar de webserver opent. Na een geslaagde infiltratie worden webshells vaak ‘achtergelaten’ voor verdere cyberaanvallen. Volgens de Talos-onderzoekers profiteerden de aanvallers van het feit dat veel gebruikersaccounts van webapplicaties met zwakke wachtwoorden of single-factor authenticatie waren beveiligd.

"Het ontbreken van beveiliging voor webapplicaties eist zijn tol", zegt Michel Schaalje (foto), cybersecurity lead bij Cisco in Nederland. "Onze rapportresultaten benadrukken opnieuw dat multifactorauthenticatie en sterke wachtwoorden nu essentieel zijn bij cyberbeveiliging, vooral bij toepassingen zoals websites."

Ransomware blijft grote dreiging vormen

De dreiging van ransomware blijft hoog. Hoewel Cisco Talos in het eerste kwartaal een algemene daling van het aantal succesvolle cyberincidenten vastgestelt, blijft de totale ransomware-activiteit hoog. Zogenaamde "pre-ransomware"-activiteiten waren goed voor ongeveer een vijfde van alle aanvallen. Dit betekent dat de komende maanden opnieuw een toename van succesvolle aanvallen kan worden verwacht.

Cisco Talos kon veel van de voorbereidende aanvallen toeschrijven aan bekende ransomware-groepen, zoals Vice Society. Volgens de onderzoekers hielp het snelle ingrijpen van de cyberbeveiligingsteams, de aanvallen in te dammen voordat de versleuteling kon plaatsvinden.

In het eerste kwartaal van 2023 was de gezondheidszorg het belangrijkste doelwit voor criminelen, op de voet gevolgd door de sectoren detailhandel, vastgoed en de horeca.

OneNote-documenten als aanvalsvector

Zogenaamde "commodity-malware" nam vorig jaar al toe. Deze is wijdverspreid en kan worden gekocht of gratis worden gedownload. Commodity-malware is meestal niet op maat gemaakt en wordt gebruikt door dreigingsactoren in verschillende stadia van hun activiteiten.

In het eerste kwartaal van 2023 doken commodity loaders, zoals Qakbot, opnieuw op. Qakbot maakte veelvuldig gebruik van kwaadaardige OneNote-documenten. Het gebruik van kwaadaardige OneNote-bijlagen werd ook bij andere aanvalspogingen waargenomen.

Volgens de analyse van Talos blijven cybercriminelen dus experimenteren met bestandstypen die niet afhankelijk zijn van macro's. Microsoft is in juli 2022 begonnen met het standaard uitschakelen van macro's in zijn toepassingen.

Andere conclusies

Andere bevindingen in het eerste kwartaal van 2023 zijn:

• In dertig procent van de waargenomen cyberaanvallen was multifactorauthenticatie (MFA) niet ingeschakeld of was deze slechts voor enkele accounts en kritieke diensten ingeschakeld.
• Recente successen van de rechtshandhaving bij het oprollen van grote ransomwarebendes (bijv. Hive) hebben effect. Dit schept echter ruimte voor nieuwe families of de vorming van nieuwe partnerschappen. Zo verscheen in Q1/2023 een nieuwe ransomware-as-a-service (RaaS) familie: Daixin Ransomware.
• De open-source toolkit Mimikatz werd dit kwartaal in bijna 60 procent van de ransomware- en pre-ransomware-aanvallen gebruikt. Mimikatz is een veelgebruikt hulpmiddel voor post-exploitatie dat inloggegevens, wachtwoorden en authenticatietokens steelt van gecompromitteerde Windows-systemen.

Meer informatie over de bevindingen van Cisco Talos met betrekking tot het eerste kwartaal van 2023 zijn hier beschikbaar.