Cybercriminelen hebben in het laatste kwartaal van 2024 de focus verlegd naar webapplicaties en ongepatchte, publiek toegankelijke toepassingen. Voorafgaand aan dat kwartaal was misbruik van identiteit en legitieme accounts al ruim een jaar de populairste aanvalsvorm.
Dat blijkt uit een analyse van incidenten die Cisco Talos, de threat-intelligence-tak van Cisco, op zijn radar kreeg. Cybercriminelen zetten met name webshells in, schadelijke scripts om via webservers toegang te krijgen tot de computer van een slachtoffer. In 35 procent van de incidenten gebruikten cyberaanvallers opensource en publieke webshells tegen kwetsbare of ongepatchte webapplicaties. Dat is een aanzienlijke stijging ten opzichte van het vorige kwartaal, toen deze aanvalstechniek minder dan tien procent van het totaal vertegenwoordigde.
Het aandeel van ransomware binnen het aanvalsspectrum daalde in het vierde kwartaal van 2024 licht: dertig procent vergeleken met veertig procent een kwartaal eerder. ‘Pas tegen het einde van het jaar was er opnieuw een toename van ransomware-aanvallen waarbij aanvallers zich voordeden als ict-personeel om via social engineering toegang te krijgen tot het account van een werknemer en gevoelige informatie te stelen, die ze vervolgens ook versleutelen’, duidt Cisco Talos. Bij die dubbele afpersingsaanvallen zetten ze slachtoffers onder druk om hen twee maal te doen betalen. Het is een bedreiging die cybersecurity-experts in 2025 in de gaten moeten houden.
Toename wachtwoordspraying
Sinds begin december 2024 merkt Cisco Talos meer aanvallen met wachtwoordspraying op. Die doen volgens de experts denken aan geautomatiseerde ddos-aanvallen waarmee cybercriminelen websites ‘platleggen’. In een van de onderzochte incidenten telde Talos tot bijna dertien miljoen inbraakpogingen op gebruikersaccounts binnen 24 uur. ‘Zulke aanvallen leiden tot de blokkering van accounts en geweigerde VPN-toegang’, vat het bedrijf samen.
Jan Heijdra, field-cto security bij Cisco Nederland, merkt op dat het inzetten van wachtwoordspraying om toegang te krijgen tot aanmeldgegevens niet nieuw is. ‘Maar het onderstreept het belang van multi-factorauthenticatie en een sterk wachtwoordbeleid.’ In bijna veertig procent van de incidenten van oktober tot het jaareinde was multi-factorauthenticatie niet geïmplementeerd of fout geconfigureerd. En bij ransomware gold dit in alle gemelde gevallen, duidt hij. ‘We blijven dan ook het belang van deze maatregelen benadrukken.’
Veel meer bedrijven zouden IP whitelisting moeten gebruiken voor hun kritieke poorten, zoals email en RDP. Dat stopt vrijwel alle mogelijkheden voor een aanval.