Talos Intelligence: dit waren de belangrijkste cybertrends van het derde kwartaal

Ondanks de gekende voordelen vermijden bedrijven en medewerkers nog steeds massaal multifactorauthenticatie (MFA). In zijn derde kwartaalrapport over cyberdreigingen zegt Cisco Talos dat in meer dan 40% van de onderzochte incidenten MFA ontbrak. “Desondanks wint MFA wel terrein, en dus detecteren we nieuwe hackingtechnieken om de cyberbeveiliging te omzeilen. Een opvallende trends is de toename van SIM swapping. In plaats van het hacken van computers, richten hackers zich nu op het hacken van telefoonnummers om zo de toegangssleutels tot die computers te onderscheppen. Terwijl multifactorauthenticatie juist bedoeld is om je te beveiligen. Het blijft dus opletten geblazen, want we zien bovendien enige MFA-moeheid. Ook dat is een strategie van hackers”, aldus Jan Heijdra, Field CTO Security bij Cisco Nederland.
Bij een aantal bedrijven die multifactorauthenticatie geactiveerd hadden, stelden onderzoekers van Cisco Talos vast dat het SIM-kaartnummer gekaapt was via een SIM hijack attack. Met SIM swapping krijgen hackers controle over de pushnotificaties op de telefoon en kunnen ze dus ook multifactorauthenticatie kapen. Dit maakt cyberbeveiliging persoonlijker, omdat je je telefoon voor veel meer gebruikt dan alleen voor je werk. Daarnaast is er sprake van MFA-moeheid als een populaire tactiek: hackers bombarderen gebruikers met berichten totdat ze het beu zijn en accepteren.
Aanvallen op webapplicaties nemen toe
Cisco Talos Incident Response zag in het derde kwartaal vooral de bedreigingen voor webapplicaties sterk toenemen. Die waren goed voor 30% van alle incidenten, vergeleken met 8% in het voorgaande trimester. De bedreigingen voor webapps zetten de trend voort die Talos IR in Q1 2023 heeft waargenomen, toen webshells de meest voorkomende dreiging waren. Webshells zijn kwaadaardige scripts waarmee hackers webservers kunnen binnendringen. Talos IR ziet tegenstanders steeds meer gebruikmaken van command & control frameworks (C2) om zwakheden in webservers te identificeren en gemakkelijker webshells te implementeren.
De kant-en-klare, commerciële frameworks maken de toegang tot webservers ook voor minder geavanceerde aanvallers eenvoudig. Die C2-frameworks zijn erg populair, en dus verwacht Talos dat deze webshelltrend zich zal doorzetten. Het gebruik van een web application firewall (WAF) tussen openbare servers en het internet kan organisaties helpen om zich tegen deze aanvallen te verdedigen.
Andere bevindingen:
• Commodity loaders werden dit kwartaal in 10% van de opdrachten waargenomen, zoals Gootloader dat ook eerder al werd herkend als downloader. Verschillende internationale instanties hebben geprobeerd de Qakbot community loader in augustus neer te halen, maar Talos vermoedt dat de actoren achter deze dreiging mogelijk nog steeds actief zijn.
• Telecommunicatie en onderwijs waren de meest aangevallen segmenten, elk goed voor 20% van het totale aantal incidentresponsopdrachten, op de voet gevolgd door overheden en productiebedrijven.
• Met ShroudedSnooper was er dit kwartaal een voorheen ongeïdentificeerde Advanced Perstistent Threat (APT). Die richtte zich op telecommunicatiebedrijven in het Midden-Oosten en zet twee nieuwe implantaten genaamd HTTPSnoop en PipeSnoop in.
• Bij 25% van de opdrachten misbruikten aanvallers externe services, zoals Remote Desktop Protocol (RDP), om te bewegen binnen een organisatie.

Lees het volledige verslag via deze link: https://blog.talosintelligence.com/talos-ir-trends-q3-2023/