Ransomware is volgens Cisco Talos weer prominenter

In het laatste kwartaal van 2023 was er opnieuw een toename in cyberactiviteit met ransomware, zo stelde threat intelligence organisatie Cisco Talos vast in zijn laatste kwartaalrapport van het afgelopen jaar. Ransomware was met 28 procent de meest gebruikte tool door cybercriminelen in het vierde kwartaal. Dat is 17 procent meer dan in het derde kwartaal, toen met name webapplicaties het primaire doelwit waren. Talos zag onder meer de ransomwaregroepen Play, Cactus, BlackSuit and NoEscape opduiken in het laatste kwartaal.

De Talos-onderzoekers verwachten bovendien dat het ransomwarelandschap in het nieuwe jaar aanzienlijk zal veranderen. Recente politieacties zouden Lockbit, de meest actieve ransomwaregroep van 2023, in de kaart kunnen spelen. Zo riep de FBI onder meer ALPHV een halt toe, waarna Lockbit in december de leden welkom heette op een Russischtalig forum. Tegelijk bood het ook NoEscape hulp aan.

In Nederland hebben politiediensten onlangs goed werk verricht door het mogelijke brein achter de belangrijke Babuk-ransomware te arresteren. Dankzij de nauwe samenwerking met Cisco Talos en Avast werd met succes een decryptor ontwikkeld om versleutelde bestanden door Babuk te herstellen.

Opgelet voor phishing met QR-codes
In 2023 zag Talos een aanzienlijke toename van QR-code phishing. Slachtoffers worden via mail misleid om schadelijke QR-codes te scannen, waarna malware wordt geïnstalleerd op hun mobiele apparaat. Het aanvalsoppervlak verschuift daardoor naar privéapparaten, waar bedrijven minder controle en zichtbaarheid op hebben. Bovendien zijn de meeste oplossingen voor e-mailbeveiliging, zoals beveiligde e-mailgateways (SEG’s), momenteel niet in staat om schadelijke QR-codes te detecteren.

Log4Shell: terug van nooit weggeweest
Opmerkelijk is dat Talos het laatste kwartaal ook vaststelde dat aanvallers nog steeds de bekende Log4Shell zero-day kwetsbaarheid systemen misbruiken, ondanks dat de patch al twee jaar beschikbaar is. Volgens recent onderzoek is een op de vier applicaties nog steeds kwetsbaar voor Log4Shell, dat gedurende heel 2023 een topdoelwit voor aanvallen bleef. Niet-gepatchte kwetsbaarheden zoals Log4Shell zijn een aantrekkelijk doelwit voor aanvallers omdat vrij beschikbare exploits hen snel toegang kunnen geven tot bedrijfsnetwerken.

Het laatste kwartaal bevestigde de algemene trend van 2023: het gebrek aan multifactorauthenticatie (MFA) blijft de belangrijkste zwakke plek in de beveiliging van bedrijven. In 36 procent van de inbraken bleek die afwezig. Die inbraken waren in Q4 vooral gericht op onderwijsinstellingen en industriebedrijven. Samen waren ze goed voor 50 percent van alle cyberactiviteit, gevolgd door zorginstellingen en overheden. In het onderwijs was er een stijging van vier procent, in de maakindustrie met liefst tien procent.