Ransomware goed voor ongeveer 20% van de cyberaanvallen

In dit kwartaal identificeerde Talos drie nieuwe ransomware-varianten: Warlock, Babuk en Kraken. Daarnaast bleven bekende groepen zoals Qilin en LockBit actief. Qilin, dat eerder dit jaar opkwam, voerde het aantal aanvallen op en vormt naar verwachting tot het einde van 2025 een aanzienlijk risico. In één geval voerden aanvallers een ransomware-aanval uit binnen twee dagen na de eerste inbraak.

Een van de onderzochte aanvallen werd toegeschreven aan Storm-2603, een groep die vermoedelijk vanuit China opereert. Opvallend was het gebruik van Velociraptor, een legitiem beveiligingshulpmiddel dat normaal gesproken wordt ingezet voor diepgaande analyse van computers en netwerken. Aanvallers gebruikten dit hulpmiddel om gegevens te verzamelen, activiteiten te monitoren en controle te behouden na een inbraak.

Kwetsbaarheden in publiek toegankelijke applicaties

Meer dan 60% van de incidenten dit kwartaal begon met het misbruik van publiek toegankelijke applicaties, een sterke stijging vergeleken met minder dan 10% in het vorige kwartaal. Deze toename hangt samen met een golf van aanvallen die nieuwe kwetsbaarheden in lokale Microsoft SharePoint-servers uitbuitten via de ToolShell-aanvalsketen.

De ToolShell-activiteiten benadrukken het belang van goede netwerksegmentatie en snelle updates. “Aanvallers laten zien hoe snel ze zich kunnen verspreiden in slecht gesegmenteerde omgevingen. In één geval volgde enkele weken na een ToolShell-inbraak een ransomware-aanval. Dit toont aan hoe cruciaal juiste netwerksegmentatie is,” aldus Jan Heijdra, Field CTO Security bij Cisco Nederland.

De ToolShell-aanvalsgolf laat ook zien hoe snel cybercriminelen handelen zodra zero-day kwetsbaarheden bekend worden. De eerste uitbuiting vond plaats een dag vóór Microsofts officiële waarschuwing, en de meeste incidenten waar Talos bij betrokken was, volgden binnen tien dagen.

Heijdra vervolgt: “Cybercriminelen scannen automatisch op kwetsbare systemen, terwijl beveiligingsspecialisten haast moeten maken met testen en uitrollen van patches. Dit kwartaal betrof circa 15% van de incidenten niet-gepatchte infrastructuur. Snel patchen en goede segmentatie zijn twee van de belangrijkste verdedigingsmaatregelen.”

Overheidsinstellingen meest getroffen

Voor het eerst sinds Talos in 2021 met analyses begon, waren overheidsorganisaties, met name lokale overheden, het vaakst doelwit van cyberaanvallen. Deze organisaties bieden essentiële diensten zoals onderwijs en gezondheidszorg, maar werken vaak met beperkte budgetten en verouderde systemen. Zowel financieel gemotiveerde aanvallers als een aan Rusland gelieerde APT-groep richtten zich vooral op lokale overheden.

Bijna een derde van de incidenten betrof het omzeilen of misbruiken van multi-factor authenticatie (MFA). Aanvallers gebruikten methodes zoals herhaalde inlogverzoeken (“MFA bombing”) of benutten zwakke plekken in MFA-instellingen. Dit toont aan dat MFA alleen niet voldoende is: organisaties moeten ook verdachte activiteiten monitoren en sterk beleid voeren.

Aanbevelingen

Talos adviseert organisaties om snel beveiligingsupdates toe te passen, netwerken goed te segmenteren, sterk MFA-beleid te hanteren en uitgebreide logging in te voeren om weerbaarder te zijn tegen deze dreigingen.