Cybercriminelen verdienen steeds meer aan legitieme inloggegevens

Cisco Talos kondigt zijn analyse van cyberincidenten in het tweede kwartaal van 2025 aan. Daaruit blijkt dat phishing nog steeds de belangrijkste methode is om toegang te krijgen tot laptops en computers, hoewel het aandeel is gedaald van 50 naar 30 procent. Dit komt vermoedelijk doordat de prominente voice phishingcampagne uit het eerste kwartaal nu minder aanwezig was. In driekwart van de phishingcampagnes werden vertrouwde maar gecompromitteerde e-mailaccounts gebruikt om beveiligingscontroles te omzeilen.

Opmerkelijk is dat phishingaanvallen via legitieme accounts dit kwartaal vooral tot doel hadden om nog meer legitieme inloggegevens buit te maken. Via phishing stuurt men slachtoffers naar valse inlogpagina’s waar ze dan zowel de gebruikersgegevens als de tokens voor multifactorauthenticatie onderscheppen. Nadien proberen ze via spearphishing de gegevens van nog andere medewerkers te ontfutselen. De afwezigheid van een betalingsverzoek maakt zulke e-mails volgens Cisco Talos minder verdacht, waardoor de kans op een succesvolle aanval mogelijk toeneemt.

Het gebruik van gecompromitteerde geldige e-mailaccounts wordt doorgaans geassocieerd met Business Email Compromise-aanvallen. De observaties suggereren dat cybercriminelen ook het verhandelen van buitgemaakte inloggegevens als winstgevend beschouwen, naast andere cybercriminele activiteiten zoals financiële afpersing of diefstal van bedrijfsgegevens.

Ransomware was dit kwartaal goed voor de helft van alle onderzoeksopdrachten, vergelijkbaar met vorig kwartaal. Met Qilin en Medusa doken er wel nieuwe spelers op, en ook de Chaos-groep was prominent dit kwartaal. Cisco Talos verwacht dat met name Qilin zijn activiteiten op korte termijn zal opvoeren, omdat ze tot nu ongeregistreerde technieken inzetten.

Zo maakt Qilin gebruik van de command-and-control-infrastructuur van Backblaze en van de datatransfertool CyberDuck. Die exfiltratietechniek werd eerder nog niet in verband gebracht met deze of verwante dreigingsactoren. Berichten op de dataleksite van Qilin geven een verdubbeling van de hacks weer sinds februari 2025, wanneer de door Noord-Korea gesponsorde cybergroep Moonstone Sleet Qilin-ransomware is gaan inzetten. Sommige cyberbeveiligers zijn van mening dat filialen van RansomHub (ransomware-as-a-service) zich bij Qilin hebben aangesloten. Hun dataleksite ging begin april 2025 offline.

Cisco Talos merkte ook op dat cybercriminelen in een derde van de ransomware-aanvallen gebruikmaakten van een oude versie van de scripttaal PowerShell. Versie 1.0 heeft niet de ingebouwde beveiligingsfuncties van de nieuwere versies, zoals de registratie van uitgevoerde scripts en transcriptie van in- en uitvoersessies of een AMSI-interface waarmee antivirustools PowerShell-code eerst kunnen scannen.

Bovendien zijn sommige tools voor malwaredetectie ontworpen om gedrag te bewaken dat typisch is voor nieuwere PowerShell-versies. In een van de Medusa-incidenten kon de aanvaller met de oude versie 1.0 de kernmap van het besturingssysteem (C:Windows) toevoegen aan de uitsluitingslijst van de antivirusoplossing, waardoor de verdediging ernstig in gevaar kwam. Daarom verplichten organisaties best het gebruik van PowerShell 5.0 of hoger op alle systemen, adviseert Talos.

Wereldwijd was onderwijs dit kwartaal de meest getroffen branche, een belangrijke verschuiving ten opzichte van vorig kwartaal toen Cisco Talos geen aanvallen zag op onderwijsorganisaties. Ook in de tweede jaarhelft van vorig jaar – en eerder in april – moest de onderwijssector de meeste ransomware-aanvallen slikken.

Meer dan 40 procent van de opdrachten dit kwartaal betrof problemen met multifactorauthenticatie (MFA), die verkeerd geconfigureerd, afwezig of omzeild was. Cisco Talos raadt aan om MFA in te schakelen maar ook te blijven monitoren. Zo vermijden organisaties dat bypass-codes worden misbruikt, dat nieuwe apparaten en accounts worden toegevoegd om MFA te omzeilen, of dat de MFA-verplichting wordt verwijderd voor bepaalde accounts.

Jan Heijdra, Field CTO Security bij Cisco Nederland, zegt: “Phishingcampagnes die gericht zijn op het buitmaken van nog meer geldige aanmeldgegevens zijn vaak een teken dat criminelen zich voorbereiden op grotere aanvallen, bijvoorbeeld met ransomware. Voor Nederlandse organisaties blijft het daarom cruciaal om zich goed te beschermen. Multifactorauthenticatie is daarbij nog altijd een belangrijk aandachtspunt, maar een web application firewall met flowlogging helpt ook bij realtime monitoring en snelle detectie van bedreigingen. Snelheid is en blijft een doorslaggevende factor in cybersecurity.”