Cisco Talos: toename datadiefstal en ransomware in Q2 2023

Meest voorkomende cyberaanvallen

De afgelopen drie maanden heeft Cisco Talos gereageerd op een groeiend aantal incidenten van datadiefstal en afpersing waarbij geen gebruik werd gemaakt van het versleutelen van bestanden of het inzetten van ransomware. Dit aanvalstype is met 25 procent gestegen sinds het vorige kwartaal, waardoor het de meest waargenomen bedreiging was. Bij dit type aanval stelen kwaadwillende actoren gegevens van slachtoffers en dreigen deze te lekken of te verkopen tenzij het slachtoffer voldoet aan de gestelde eisen, waarbij het inzetten van ransomware of het versleutelen van gegevens niet nodig is. Dit verschilt van de dubbele-afpersingsmethode van ransomware, waarbij tegenstanders bestanden stelen en versleutelen en vervolgens betaling eisen van slachtoffers om een ontsleutelingssleutel te ontvangen.

Ransomware was de op een na meest waargenomen dreiging in dit kwartaal, goed voor 17 procent van de incidenten, een lichte stijging ten opzichte van de 10 procent van het vorige kwartaal. In dit kwartaal werden de bekende LockBit- en Royal-ransomware-families en de nieuwe 8base- en MoneyMessage-families veelvuldig waargenomen.

Belangrijkste doelwitten

In lijn met de bevindingen van het vorige kwartaalrapport van Cisco Talos blijkt dat de gezondheidszorg het vaakst getroffen wordt door cyberaanvallen, helaas goed voor 22 procent van alle incidentrespons-opdrachten. Na de gezondheidszorgsector werden de financiële sector en de nutsbedrijven (elektriciteit, olie en gas) het meest aangevallen.

Initiële vectoren

Bij de meeste incidenten waar Talos IR dit kwartaal op reageerde, kregen cybercriminelen aanvankelijk toegang door misbruik te maken van gecompromitteerde inloggegevens om toegang te krijgen tot geldige accounts. Het gebruik van geldige accounts werd waargenomen in bijna 40 procent van alle incidenten. Dit is een stijging van 22 procent ten opzichte van Q1 2023.

Het is moeilijk te zeggen hoe aanvallers de gecompromitteerde inloggegevens hebben verkregen die zijn gebruikt om toegang te krijgen tot geldige accounts. Er zijn verschillende manieren waarop inloggegevens gecompromitteerd kunnen raken, zoals datalekken bij derden, informatie-stelende malware zoals Redline en phishing-campagnes. De kans dat inloggegevens in handen van een aanvaller komen is vooral groot wanneer werknemers dezelfde inloggegevens voor meerdere accounts gebruiken.

Naast het gebruik van geldige accounts om toegang te krijgen tot data werd er bij meer dan 50 procent van de aanvallen in dit kwartaal PowerShell gebruikt, Microsoft’s script platform voor het automatiseren van taken en voor configuratiemanagement. Dit dynamische programma blijft populair bij cybercriminelen, onder andere door onzichtbaarheid, gemak en uitgebreide IT-beheermogelijkheden.

Zwakke punten in beveiliging

Cisco Talos benadrukt nadrukkelijk het belang van MFA, want het ontbreken of onjuist implementeren van multifactorauthenticatie (MFA) in kritieke services was verantwoordelijk voor meer dan 40 procent van de incidenten waarop Cisco Talos dit kwartaal reageerde. In bijna 40 procent van de gevallen gebruikten cybercriminelen gecompromitteerde inloggegevens om toegang te krijgen tot geldige accounts, waarvan 90 procent geen MFA had. In sommige gevallen werd MFA omzeild door middel van uitputtingsaanvallen. Hierbij probeert de aanvaller herhaaldelijk zich te verifiëren op een gebruikersaccount met geldige inloggegevens, waardoor de slachtoffers worden overspoeld met MFA pushmeldingen. De aanvaller hoopt dat de slachtoffers uiteindelijk toegeven en zich succesvol zullen verifiëren.

“De bevindingen van Cisco Talos over de cyberdreigingen van Q2 benadrukken het belang van sterke wachtwoorden en het inschakelen van MFA (Multi-Factor Authentication) waar mogelijk,” aldus Jan Heijdra security specialist bij Cisco Nederland. “Datadiefstal en ransomware aanvallen komen steeds vaker voor in verschillende sectoren. Het is en blijft daarom voor iedereen belangrijk om alert te blijven op verdachte digitale activiteiten.”