Wouter Hoeffnagel - 10 november 2024

Gestolen identiteiten steeds vaker misbruikt bij cyberaanvallen op bedrijven

Cybercriminelen maken steeds vaker gebruik van gestolen persoonlijke gegevens om bedrijven aan te vallen. Uit een analyse van Cisco Talos blijkt dat bij een kwart van de meldingen in het derde kwartaal de focus lag op het stelen van inloggegevens.

Gestolen identiteiten steeds vaker misbruikt bij cyberaanvallen op bedrijven image

Volgens Talos is het technisch gezien relatief eenvoudig om identiteits- en persoonlijke gegevens te stelen, bijvoorbeeld door ‘infostealers’ in te zetten. “Toch zijn zulke aanvallen zorgwekkend, omdat ze leiden tot interne aanvallen, social engineering en business email compromise vanaf een geldig, maar gecompromitteerd account. Zonder Identity Intelligence beveiligingssoftware die context en identiteit correleert, zijn dergelijke activiteiten zijn erg moeilijk te detecteren,” waarschuwt Jan Heijdra, Field CTO bij Cisco Nederland.

Het valt op dat al voor het vierde kwartaal op rij de meeste aanvallen via geldige accounts verlopen, wat aanvallers directe toegang geeft tot netwerken of apparaten. Dit gebeurde in 66 procent van de gevallen, een lichte stijging ten opzichte van het vorige kwartaal.

Om toegang te krijgen tot accounts maken aanvallers vaak gebruik van ‘password spraying’. Hierbij wordt een bepaald wachtwoord, of een korte lijst met veelgebruikte wachtwoorden, op meerdere accounts binnen een netwerk toegepast. Dit voorkomt automatische vergrendeling die optreedt bij klassieke brute-force aanvallen met veel verschillende wachtwoorden. Talos benadrukt daarom opnieuw het belang van sterke wachtwoorden en multifactorauthenticatie (MFA).

Adversary-in-the-middle

Talos IR rapporteerde ook meerdere phishingaanvallen met de ‘adversary-in-the-middle’ (AitM) techniek. Deze methode misleidt gebruikers om hun inloggegevens in te voeren op nagemaakte inlogpagina’s, zoals voor Microsoft O365 en MFA. In een specifieke aanval konden criminelen binnen twintig minuten na de eerste phishingmail al inloggen op de werkelijke werkomgeving van het slachtoffer. Dit laat zien hoe snel en effectief dergelijke aanvallen zijn.

Ook ransomware blijft dit kwartaal veel voorkomen, goed voor veertig procent van de aanvallen. Naast bekende varianten als BlackByte, Cerber en BlackSuit zag Talos IR ook nieuwe aanvallen met RansomHub (actief sinds februari 2024), RCRU64 en DragonForce. Ondanks waarschuwingen en indicatoren van de CISA in augustus over RansomHub, blijft deze groep actief, met zowel dubbele afpersing als chantage na gegevensdiefstal.

Populaire doelwitten

In het derde kwartaal werden vooral onderwijsinstellingen, de maakindustrie en financiële dienstverlening getroffen. Deze sectoren waren samen goed voor meer dan 30 procent van de aanvallen, een trend die ook in het eerste kwartaal zichtbaar was. Opvallend is dat sommige bedrijven wel investeren in cyberbeveiliging, maar hun verdediging onvoldoende afstemmen op hun risico’s.

Opmerkelijk is dat sommige bedrijven zich wel wapenen maar hun cyberverdediging niet goed afstellen. Jan Heijdra onderstreept nogmaals een goede securityhygiëne: “Bijna veertig procent van de aanvallen was dit kwartaal te wijten aan fout geconfigureerde MFA, gebrek aan MFA of MFA-bypass. In bijna dertig procent van de incidenten ontbrak Endpoint Detection & Response software, of was de EDR-tool slecht geconfigureerd. En ook voor de beveiliging van het netwerk waren in ongeveer 20 procent van de gevallen de oplossingen verkeerd geconfigureerd of niet volledig ingeschakeld. Dat kunnen bedrijven eenvoudig oplossen.”

Axians 12/11/2024 t/m 26/11/2024 BN+BW