De hoeveelheid ransomware loopt terug

Dit blijkt uit een kwartaalanalyse van Cisco Talos Incident Response (Talos IR). Een groeiende trend is het gebruik van Remote Monitoring and Management (RMM)-tools door cybercriminelen. Deze tools, die normaal gesproken legitiem worden ingezet binnen bedrijven, maken detectie lastiger. Het misbruik van publiek toegankelijke applicaties blijft de belangrijkste manier voor aanvallers om toegang te krijgen, gevolgd door phishing.

“Voor organisaties in heel Europa mag de daling van ransomwaregevallen niet leiden tot zelfgenoegzaamheid”, benadrukt Jan Heijdra, Field CTO Security bij Cisco Benelux. “Cybercriminelen passen zich snel aan, maken gebruik van nieuwe kwetsbaarheden en gebruiken legitieme tools om detectie te omzeilen. Snelle patching, robuuste segmentatie, sterke authenticatie en uitgebreide logging blijven essentieel voor effectieve verdediging.”

Kwetsbaarheden in publieke applicaties vaak misbruikt

Bijna 40% van alle incidentresponscases betrof het uitbuiten van kwetsbaarheden in publieke applicaties. Dit markeert een verschuiving ten opzichte van eerdere patronen, zoals gecompromitteerde e-mails en ransomwarecampagnes. In verschillende gevallen werden systemen binnen enkele uren na de openbaarmaking van een kwetsbaarheid al aangevallen. Cybercriminelen richtten zich met name op recent ontdekte lekken in Oracle E-Business Suite (CVE-2025-61882) en React2Shell (CVE-2025-55182), waarbij malware werd geïmplementeerd die gelinkt is aan advanced persistent threat (APT)-groepen.

Jan Heijdra, Field CTO Security bij Cisco Benelux: "In veel gevallen begon het misbruik al binnen enkele uren na de bekendmaking van de kwetsbaarheid. Dit laat zien hoe snel cybercriminelen in actie komen en benadrukt het cruciale belang van mitigerende maatregelen en tijdig patchen. Organisaties moeten alert blijven op het beperken van de blootstelling van waardevolle en internettoegankelijke systemen."

Complexere phishingaanvallen

Phishing was betrokken bij 32% van de incidentresponscases, een stijging ten opzichte van 23% in het voorgaande kwartaal. De campagnes worden volgens Talos IR steeds geavanceerder, waarbij aanvallers gebruikmaken van gecompromitteerde accounts en gekaapte domeinen om geloofwaardige berichten te verspreiden, zoals valse meldingen over werkgerelateerde trainingen. Zodra toegang was verkregen, werden vanuit de geïnfiltreerde systemen verdere phishing-e-mails verzonden, zowel intern als extern, wat het risico voor publieke en overheidsorganisaties wereldwijd vergrootte.

"Deze campagnes laten zien hoe geavanceerd phishingaanvallen steeds worden en welke risico’s zwakke of ontbrekende multi‑factor authenticatie (MFA) met zich meebrengt. Organisaties in de publieke sector en andere instellingen zouden hun e-mailverkeer en MFA‑meldingen nauwlettend moeten monitoren en het bewustzijn van gebruikers verder moeten vergroten,” aldus, Jan Heijdra, Field CTO Security bij Cisco Benelux.

Talos IR doet een aantal concrete aanbevelingen om de cyberweerbaarheid te versterken:

• Patchmanagement: Zorg voor snelle updates van kwetsbaarheden om risico’s te beperken.
• Multi-factor authenticatie (MFA): Implementeer sterke MFA-beleidsregels en monitor verdachte activiteiten, zoals de registratie van nieuwe apparaten of misbruik van bypass-codes.
• Gecentraliseerde logging: Gebruik een Security Information and Event Management (SIEM)-oplossing voor betere forensische inzichten.
• Snelle incidentrespons: Vroege betrokkenheid van gespecialiseerde teams kan de impact van aanvallen beperken. Vertragingen vergroten het risico op succesvolle ransomware-aanvallen of datalekken.