Cisco Talos: ransomware daalt fors in Q3, maar opkomst nieuwe varianten houdt risico’s hoog

Talos, Cisco’s threat intelligence-onderzoeksorganisatie, meldt dat ransomware-incidenten in het derde kwartaal van 2025 ongeveer 20% van alle gevallen uitmaakten, een daling ten opzichte van 50% in het vorige kwartaal. Ondanks deze afname waarschuwt Talos dat dit geen garantie is voor een blijvende daling, aangezien ransomware nog steeds een van de meest hardnekkige dreigingen voor organisaties vormt.

Dit kwartaal ontdekte Talos drie nieuwe ransomware-varianten: Warlock, Babuk en Kraken, naast bekende bedreigingen zoals Qilin en LockBit. Qilin, die eerder dit jaar opdook, voerde het aantal aanvallen op en zal waarschijnlijk tot het einde van 2025 een groot risico blijven vormen. In één geval voerden criminelen hun ransomware-aanval al twee dagen na de eerste inbraak uit. Ook LockBit, een van de beruchtste ransomware-groepen ter wereld, was actief.

Een van de onderzochte malware-aanvallen werd toegeschreven aan Storm-2603, een groep die vermoedelijk vanuit China opereert. Opvallend was het gebruik van het legitieme beveiligingshulpmiddel Velociraptor, een primeur binnen ransomware-aanvallen. Velociraptor is ontworpen om diepgaand inzicht te krijgen in computers en netwerken, waardoor aanvallers gegevens kunnen verzamelen, activiteiten kunnen monitoren en controle kunnen behouden na een inbraak.

Exploitatie van publiek toegankelijke applicaties
Meer dan 60% van de incidenten dit kwartaal begon met het uitbuiten van publiek toegankelijke applicaties, een forse toename ten opzichte van minder dan 10% in het vorige kwartaal. Deze stijging hangt voornamelijk samen met een golf van aanvallen die misbruik maakten van nieuwe kwetsbaarheden in lokale Microsoft SharePoint-servers via de ToolShell-aanvalsketen.

De ToolShell-activiteiten dit kwartaal onderstrepen het belang van goede netwerksegmentatie en snel patchen. “Aanvallers laten zien hoe snel ze zich zijwaarts kunnen bewegen in slecht gesegmenteerde omgevingen. In één ToolShell-inbraak volgde enkele weken later een ransomware-aanval. Dit toont aan hoe essentieel juiste netwerksegmentatie is,” zegt Jan Heijdra, Field CTO Security bij Cisco Nederland.

De ToolShell-aanvalsgolf laat ook zien hoe snel cybercriminelen in actie komen zodra zero-day kwetsbaarheden bekend worden. De eerste bekende uitbuiting vond zelfs plaats een dag vóór Microsofts officiële waarschuwing, en de meeste incidenten waar Talos bij betrokken was, volgden binnen de daaropvolgende tien dagen.

Heijdra vervolgt: “Cybercriminelen scannen automatisch op kwetsbare systemen, terwijl beveiligingsspecialisten haast moeten maken met testen en uitrollen van patches. Dit kwartaal betrof circa 15% van de incidenten niet-gepatchte infrastructuur. Snel patchen en goede segmentatie zijn twee van de belangrijkste verdedigingsmaatregelen.”

Overheidsinstellingen nu belangrijkste doelwit
Voor het eerst sinds Talos begon met zijn analyses in 2021, waren overheidsorganisaties, vooral lokale overheden, het vaakst doelwit van cyberaanvallen. Deze organisaties leveren essentiële diensten, zoals scholen en ziekenhuizen, maar werken vaak met beperkte budgetten en verouderde technologie. Zowel financieel gemotiveerde aanvallers als een aan Rusland gelieerde APT-groep werden vooral waargenomen bij aanvallen op lokale overheden.

Toename misbruik van Multi-Factor Authenticatie (MFA)
Bijna een derde van de incidenten dit kwartaal betrof aanvallers die multi-factor authenticatie (MFA) omzeilden of misbruikten, vaak door gebruikers te bestoken met herhaalde inlogverzoeken (“MFA bombing”) of door zwakke plekken in de MFA-instellingen te benutten. Deze bevindingen maken duidelijk dat alleen het inschakelen van MFA iet voldoende is: organisaties moeten ook verdachte inlogactiviteiten monitoren en zorgen voor sterk MFA-beleid.

Belangrijkste aanbevelingen
Talos raadt organisaties aan om snel te patchen, het netwerk goed te segmenteren, sterk MFA-beleid te hanteren en uitgebreide logging te implementeren om beter bestand te zijn tegen deze veranderende dreigingen.