- Aanzienlijke toename van cyberaanvallen via webshells benadrukt de kwetsbaarheid van web-apps
- Het percentage succesvolle chantage-aanvallen is gehalveerd, maar de pre-ransomware activiteit bleef hoog
- Commodity loaders gebruikten steeds vaker kwaadaardige OneNote-documenten
- Gezondheidszorg topdoelwit van cybercriminelen
Het aantal cyberaanvallen via webshells is in de eerste drie maanden van 2023 bovengemiddeld gestegen. Volgens de driemaandelijkse dreigingsanalyse van Cisco Talos waren webshells verantwoordelijk voor een kwart van alle onderzochte incidenten. Tegelijkertijd daalde het aandeel gedetecteerde ransomware-aanvallen van 20% naar 10%. Kanttekening hierbij is dat een vijfde van alle dreigingsactiviteiten bestond uit acties die vaak voorafgaan aan een ransomware-aanval.
Volgens het rapport waren openbare webapplicaties in deze periode een belangrijk doelwit van cyberdreigingen. Bijna de helft van alle aanvallen (45%) gebruikt webapplicaties om toegang te krijgen tot systemen. In vergelijking met het vorige kwartaal is dit een stijging van 15%.
Veel van deze cyberaanvallen maakten gebruik van webshells, waarmee servers die via het internet toegankelijk waren, werden gecompromitteerd. Een webshell is een kwaadaardig script dat zich voordoet als een legitiem bestand terwijl het een achterdeur naar de webserver opent. Na een geslaagde infiltratie worden webshells vaak ‘achtergelaten’ voor verdere cyberaanvallen. Volgens de Talos-onderzoekers profiteerden de aanvallers van het feit dat veel gebruikersaccounts van webapplicaties met zwakke wachtwoorden of single-factor authenticatie waren beveiligd.
"Het ontbreken van beveiliging voor webapplicaties eist zijn tol," zegt Michel Schaalje, cybersecurity lead bij Cisco in Nederland. "Onze rapportresultaten benadrukken opnieuw dat multifactorauthenticatie en sterke wachtwoorden nu essentieel zijn bij cyberbeveiliging, vooral bij toepassingen zoals websites."
Versterkte cyberweerbaarheid tegen ransomware voorkomt grote successen
De dreiging van ransomware blijft hoog. Hoewel Cisco Talos in het eerste kwartaal een algemene daling van het aantal succesvolle cyberincidenten heeft vastgesteld, blijft de totale ransomware-activiteit hoog. Zogenaamde "pre-ransomware"-activiteiten waren goed voor ongeveer een vijfde van alle aanvallen. Dit betekent dat de komende maanden opnieuw een toename van succesvolle aanvallen kan worden verwacht. Cisco Talos kon veel van de voorbereidende aanvallen toeschrijven aan bekende ransomware-groepen, zoals Vice Society. Volgens de onderzoekers hielp het snelle ingrijpen van de cyberbeveiligingsteams, de aanvallen in te dammen voordat de versleuteling kon plaatsvinden.
In het eerste kwartaal van 2023 was de gezondheidszorg het belangrijkste doelwit voor criminelen, op de voet gevolgd door de sectoren detailhandel, vastgoed en de horeca.
OneNote-documenten als aanvalsvector
Zogenaamde "commodity-malware" nam vorig jaar al toe. Deze is wijdverspreid en kan worden gekocht of gratis worden gedownload. Commodity-malware is meestal niet op maat gemaakt en wordt gebruikt door dreigingsactoren in verschillende stadia van hun activiteiten.
In het eerste kwartaal van 2023 doken commodity loaders, zoals Qakbot, opnieuw op. Qakbot maakte veelvuldig gebruik van kwaadaardige OneNote-documenten. Het gebruik van kwaadaardige OneNote-bijlagen werd ook bij andere aanvalspogingen waargenomen.
Volgens de analyse van Talos blijven cybercriminelen dus experimenteren met bestandstypen die niet afhankelijk zijn van macro's. Microsoft is in juli 2022 begonnen met het standaard uitschakelen van macro's in zijn toepassingen.
Verdere bevindingen uit het Talos rapport
Andere bevindingen in het eerste kwartaal van 2023 zijn:
In dertig procent van de waargenomen cyberaanvallen was multifactorauthenticatie (MFA) niet ingeschakeld of was deze slechts voor enkele accounts en kritieke diensten ingeschakeld.
Recente successen van de rechtshandhaving bij het oprollen van grote ransomwarebendes (bijv. Hive) hebben effect. Dit schept echter ruimte voor nieuwe families of de vorming van nieuwe partnerschappen. Zo verscheen in Q1/2023 een nieuwe ransomware-as-a-service (RaaS) familie: Daixin Ransomware.
De open-source toolkit Mimikatz werd dit kwartaal in bijna 60 procent van de ransomware- en pre-ransomware-aanvallen gebruikt. Mimikatz is een veelgebruikt hulpmiddel voor post-exploitatie dat inloggegevens, wachtwoorden en authenticatietokens steelt van gecompromitteerde Windows-systemen.
Meer details over de Cisco Talos-bevindingen van het eerste kwartaal van 2023 zijn te vinden in deze blogpost (
Engels).
Over Cisco
Cisco (NASDAQ: CSCO) is wereldwijd marktleider op het gebied van technologie die het internet mogelijk maakt. Cisco inspireert nieuwe mogelijkheden door toepassingen opnieuw te bedenken, ondernemingen te beveiligen, infrastructuur te transformeren en teams in staat te stellen zich in te zetten voor een wereldwijde en inclusieve toekomst. Ontdek meer op
The Newsroom en volg ons op Twitter via
@Cisco.