BEC blijft ondanks lichte daling aanzienlijke dreiging voor organisaties
Business email compromise (BEC) en ransomware waren in het tweede kwartaal van 2024 opnieuw de meest voorkomende cyberdreiging. Hoewel het aantal BEC-incidenten licht is gedaald, blijft de vorm van cybercriminaliteit voor organisaties een aanzienlijke dreiging opleveren.
Hiervoor waarschuwt Cisco Talos Incident Response (Talos IR) op basis van een kwartaalanalyse. Samen waren BEC en ransomware verantwoordelijk voor 60 procent van alle incidenten die Talos IR waarnam. Waar het aantal BEC-incidenten licht is gedaald, is de hoeveelheid ransomware-activititeit juist toegenomen.
Vaak gecompromitteerde inloggegevens ingezet
Een opvallende trend is dat, voor het derde kwartaal op rij, het merendeel van de aanvallen begon met het misbruik van gecompromitteerde inloggegevens van legitieme accounts. Dit was goed voor 60 procent van de incidenten. Dit is een stijging van 25 procent ten opzichte van het vorige kwartaal.
De technologiesector werd dit kwartaal het zwaarst getroffen, met 24 procent van de incidenten, gevolgd door de gezondheidszorg, farmaceutische industrie en detailhandel. Het aantal incidenten in de technologiesector steeg met 30 procent vergeleken met het vorige kwartaal, wat erop wijst dat deze sector steeds vaker als toegangspoort wordt gebruikt voor aanvallen op andere industrieën.
30% van de incidenten gerelateerd aan ransomware
Ransomware-activiteiten namen in het tweede kwartaal met 22 procent toe ten opzichte van het vorige kwartaal en waren betrokken bij 30 procent van de incidenten. In het afgelopen kwartaal vielen niet alleen nieuwe ransomwarefamilies zoals Mallox en Underground Team op, maar ook de gevestigde dreigingen van Black Basta en BlackSuit waren actief.
Mallox richt zich specifiek op kwetsbare Microsoft SQL-servers, waarbij aanvallers brute force-technieken toepassen om toegang te verkrijgen. Na het binnendringen tot de servers versleutelt Mallox de bestanden en eist losgeld, met de dreiging dat de gegevens openbaar worden gemaakt als het gevraagde bedrag niet wordt betaald. Bij de incidenten met Mallox heeft Talos IR geen aanwijzingen gevonden van data-exfiltratie of laterale beweging binnen de netwerken van de slachtoffers.
Underground Team viel daarentegen op door hun gebruik van innovatieve technieken, zoals het strategisch her-activeren van eerder gedeactiveerde Active Directory-gebruikersaccounts. Hiermee kunnen ze hun privileges verhogen en lateraal door het netwerk bewegen. Tijdens hun aanvallen maken ze gebruik van Secure Shell (SSH) voor laterale beweging en zetten ze extra accounts in om persistentie te waarborgen. Een andere opmerkelijke tactiek van Underground Team is het sturen van intimiderende berichten naar persoonlijke e-mailaccounts van medewerkers om druk uit te oefenen en slachtoffers te dwingen aan hun eisen te voldoen.
Black Basta en BlackSuit
Een meer bekende ransomwaregroep is Black Basta, die agressieve aanvallen met verschillende technieken voor initiële toegang zoals phishing en het uitbuiten van kwetsbaarheden. Deze groep richt zich op zowel Windows- als Linux-systemen en maakt vaak gebruik van de open-source tool Rclone om gegevens te exfiltreren. Black Basta staat er ook om bekend beveiligingstools zoals Windows Defender uit te schakelen voordat de ransomware wordt uitgerold.
In dezelfde lijn van intensieve ransomware-aanvallen bevindt zich BlackSuit, een RaaS-groep die sinds mei 2023 actief is. BlackSuit vertoont sterke overeenkomsten met de Royal-groep, wat suggereert dat BlackSuit mogelijk een rebranding is van Royal. Deze ransomware richt zich op zowel Windows- als Linux-systemen en gebruikt legitieme tools zoals Microsoft PowerToys en Mimikatz voor laterale beweging en gegevensdiefstal. Ook BlackSuit past geavanceerde technieken toe, zoals sandbox-evasie, om detectie te vermijden en versleutelt gegevens voordat losgeld wordt geëist. Een opvallende bevinding dit kwartaal was dat in 80 procent van de ransomware-incidenten geen multi-factor authenticatie (MFA) was geïmplementeerd op kritieke systemen, wat het voor aanvallers makkelijker maakte om toegang te krijgen en schade aan te richten.
Netwerkapparatuur vaker doelwit
Dit kwartaal merkte Talos IR ook een lichte toename op in aanvallen gericht op netwerkapparatuur, wat goed was voor 24 procent van de incidenten. Deze aanvallen bestonden onder andere uit wachtwoordspraying, kwetsbaarheidsscans en het uitbuiten van verouderde of slecht geconfigureerde systemen. Talos IR benadrukt het belang van regelmatige updates en actief toezicht op netwerkapparatuur om de risico's van cyberaanvallen te verkleinen.
Jan Heijdra (foto), Field CTO Security bij Cisco Nederland: “De analyse voor het tweede kwartaal laat zien dat de dreiging van BEC en ransomware wereldwijd groot blijft. De toename van aanvallen op de technologiesector en de aanhoudende kwetsbaarheid door gecompromitteerde inloggegevens onderstrepen de noodzaak van versterkte securitymaatregelen en bewustzijnstrainingen voor werknemers. Bij Cisco blijven we organisaties adviseren om robuuste beveiligingsprotocollen, zoals multi-factor authenticatie en regelmatige systeemupdates, te implementeren om zich beter te wapenen tegen deze groeiende dreigingen.”