Cisco Talos waarschuwt voor toename identiteitsdiefstal
Cybercriminelen misbruiken steeds meer de identiteit van personen om bedrijven aan te vallen, blijkt uit een analyse van Cisco Talos. Bij een kwart van de gerapporteerde incidenten in het derde kwartaal was diefstal van inloggegevens het belangrijkste doel.
Technisch is de diefstal van identiteiten en persoonlijke gegevens relatief gemakkelijk uit te voeren, met onder meer eenvoudige ‘infostealers’, meldt Talos. “Toch zijn zulke aanvallen zorgwekkend, omdat ze leiden tot interne aanvallen, social engineering en business email compromise vanaf een geldig, maar gecompromitteerd account. Zonder Identity Intelligence beveiligingssoftware die context en identiteit correleert, zijn dergelijke activiteiten zijn erg moeilijk te detecteren,” waarschuwt Jan Heijdra, Field CTO bij Cisco Nederland.
Het verbaast dan ook niet dat de meeste aanvallen al voor het vierde opeenvolgende kwartaal gebeuren via bekende of geldige accounts. Criminelen krijgen zo voor het eerst toegang tot apparaten of netwerken, goed voor 66 procent en iets meer dan het voorgaande kwartaal.
Om de aanmeldgegevens van die geldige accounts te stelen, gebruiken criminelen almaar meer ‘password spraying’. Dat is volgens Cisco Talos Incident Response (Talos IR) goed voor 25 procent van de pogingen. Aanvallers combineren dan een specifiek wachtwoord of een korte lijst met veelgebruikte wachtwoorden met verschillende accounts op een netwerk. Zo vermijden ze de automatische vergrendeling van accounts bij enkelvoudige, brute-force aanvallen met verschillende wachtwoorden. Talos onderstreept opnieuw het belang van multifactorauthenticatie (MFA) en een sterk wachtwoordbeleid.
Adversary-in-the-middle (AitM): bedreigingen van binnenuit
Ook observeerde Talos IR dit kwartaal verscheidene phishingaanvallen met de adversary-in-the-middle (AitM) techniek. Daarbij probeerden criminelen gebruikers te misleiden om hun inloggegevens in te voeren op valse inlogpagina’s, zoals een gesimuleerd aanmeldportaal voor Microsoft O365 en MFA.
In dat specifieke geval konden de criminelen met de gegevens van het slachtoffer inloggen bij de werkelijke omgeving, amper twintig minuten na de eerste phishingmail. Het toont de snelheid, het gemak en de effectiviteit van zulke aanvallen aan.
Ransomware blijft pieken
Ook dit kwartaal bleven ransomware en afpersing na gegevensdiefstal de lijst toppen, met veertig procent van de aanvallen. Naast enkele gekende ransomwarevarianten zoals BlackByte, Cerber en BlackSuit observeerde Talos IR ook nieuwkomers als RansomHub (nieuw sinds februari 2024), RCRU64 en DragonForce. Hoewel het CISA in augustus een advies publiceerde met RansomHub-indicators of compromise (IOC’s) en hun tactieken, technieken en procedures (TTP’s), bevestigt Talos dat de actor nog steeds heel erg actief is, met zowel dubbele afpersing als afpersing na gegevensdiefstal.
Populaire doelwitten
Organisaties uit het onderwijs, de productiesector en financiële dienstverlening werden dit kwartaal het zwaarst getroffen. Samen waren ze goed waren voor meer dan 30 procent van de aanvallen. Ook in het eerste kwartaal waren onderwijsinstellingen en de maakindustrie het meest in het vizier.
Opmerkelijk is dat sommige bedrijven zich wel wapenen maar hun cyberverdediging niet goed afstellen. Jan Heijdra onderstreept nogmaals een goede securityhygiëne: “Bijna veertig procent van de aanvallen was dit kwartaal te wijten aan fout geconfigureerde MFA, gebrek aan MFA of MFA-bypass. In bijna dertig procent van de incidenten ontbrak Endpoint Detection & Response software, of was de EDR-tool slecht geconfigureerd. En ook voor de beveiliging van het netwerk waren in ongeveer 20 procent van de gevallen de oplossingen verkeerd geconfigureerd of niet volledig ingeschakeld. Dat kunnen bedrijven eenvoudig oplossen.”
Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.