Phishing opnieuw populaire aanvalsmethode van cybercriminelen, waarschuwt Cisco Talos

Volgens Cisco Talos’ eerste kwartaalrapport van 2025 over wereldwijde cyberdreigingen, blijkt dat phishing opnieuw een van de meest gebruikte aanvalstechnieken door cybercriminelen is. Het stelen van gebruikersgegevens blijft het primaire doel. De maakindustrie was met 25% van alle incidenten het belangrijkste doelwit.

Phishing was verantwoordelijk voor 50% van alle cyberaanvallen die door Cisco Talos werden geanalyseerd. Dat is een opvallende stijging ten opzichte van het voorgaande kwartaal, toen phishing minder dan 10% van de incidenten uitmaakte. Telefonische oplichting, ook wel bekend als voice phishing of vishing, was goed voor meer dan 60% van alle phishing-gerelateerde incidenten.

De aanvallen waren niet alleen gericht op het stelen van gegevens, maar vooral op het overnemen van gebruikersaccounts en het verkrijgen van toegang tot netwerken van slachtoffers. Waar phishing in het verleden vooral werd ingezet om vertrouwelijke informatie te verkrijgen en geld af te persen, zien we nu een verschuiving naar meer complexe en gerichte aanvallen.

In een opvallende vishing-campagne wisten aanvallers slachtoffers via de telefoon te misleiden. Ze overtuigden hen om toegang tot hun computer te geven, beveiligingstools uit te schakelen en specifieke software te installeren. Zo verkregen cybercriminelen permanente toegang en slaagden ze erin om ongemerkt te opereren. In andere gevallen werd phishing gebruikt om toegangstokens van gebruikers te stelen, waarmee aanvallers langdurig toegang tot gecompromitteerde netwerken konden behouden.

Vishing + ransomware = nieuwe aanvalscombinatie
Bij ruim de helft van alle incidenten speelde ransomware of pre-ransomware een rol. Dat is twintig procent meer dan in het voorgaande kwartaal. In meer dan 60% van de gevallen werd de ransomware-aanval voorafgegaan door een vishing-campagne. Die aanvallen waren vooral gericht op bedrijven in de industriële en bouwsector.

De aanval begon meestal met massale spamberichten, waarna criminelen via Microsoft Teams contact zochten met slachtoffers. Ze overtuigden hen om Microsoft Quick Assist te starten, waardoor aanvallers vervolgens een tool konden installeren om systeemgegevens te verzamelen en permanente toegang tot het apparaat te krijgen. Aanvankelijk werd hiervoor BlackBasta-ransomware gebruikt, maar later schakelden criminelen over op Cactus.

Nieuwe grote ransomware-speler: Crytox met HRSword Tool
In dit eerste kwartaal zag Cisco Talos een verhoogde activiteit van de Crytox-groep en de HRSword-tool, die wordt gebruikt om EDR-beveiliging (endpoint detection and response) uit te schakelen. Crytox versleutelt lokale en netwerkschijven, waarna slachtoffers een ransomwaremail ontvangen met een ultimatum van vijf dagen om losgeld over te maken. De groep gebruikt soms ook uTox-messenger om contact op te nemen met slachtoffers.

Effectieve beschermingstechnieken
Jan Heijdra, CTO Security van Cisco Nederland licht toe: ”In 75% van de incidenten met ransomware ging het over de pre-ransomware-fase – waarin aanvallers al toegang hebben tot de omgeving van het slachtoffer, maar nog geen bestanden hebben versleuteld. Dat is een “window of opportunity” waarin we de aanval kunnen detecteren en onderbreken voordat deze echte schade aanricht. Daarom hebben we artificial intelligence en Agentic AI toegevoegd aan onze toepassingen voor detectie en datamonitoring, respectievelijk XDR en Splunk. Zo detecteren organisaties sneller en automatisch verdachte handelingen in de pre-ransomware fase.”

Het onmiddellijke detecteren van een aanval stelt Incident Response-teams in staat om verdere ontwikkelingen snel te blokkeren. Training van gebruikers speelt hierbij een essentiële rol. Gebruikers bewust maken van phishing en social engineering-technieken kan het risico op aanvallen aanzienlijk verminderen. De helft van de incidenten die in het eerste kwartaal werden onderzocht, waren het resultaat van social engineering, waarbij vishing – of telefoonfraude – een bijzonder effectieve methode bleek.

Daarom blijft het ook belangrijk om authenticatie en toegangscontrole te implementeren. In de helft van de onderzochte incidenten in het eerste kwartaal bleek multifactorauthenticatie (MFA) afwezig, fout geconfigureerd, of omzeild. In 20 procent van de gevallen waren er geen maatregelen getroffen om te voorkomen dat toestelbeveiliging werd uitgeschakeld, wat aanvallers vrij spel gaf.

Cisco Talos verwacht dat cybercriminelen hun tactieken zullen blijven aanpassen om ongemerkt te kunnen handelen, met nieuwe tools en nieuwe ransomwarefamilies. Het effectief identificeren en aanpakken van pre-ransomware-activiteiten blijft cruciaal om de impact van dit soort incidenten te beperken. Snelle respons, robuuste beveiligingsmaatregelen en voortdurende training van medewerkers vormen de sleutel tot een sterkere verdediging.