Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Wouter Hoeffnagel - 31 januari 2025

Aanvallers zetten oudere tools in voor uitbuiten van kwetsbare Java-implementaties

Dreigingsactoren verschoven in het vierde kwartaal van 2024 hun focus van het misbruiken van geldige accounts naar het gebruik van web shells als belangrijkste methode voor initiële toegang. Daarnaast blijven aanvallers oudere tools inzetten, zoals JexBoss, om kwetsbaarheden in Java-platforms te exploiteren.

Security Data protection Identity protection
Aanvallers zetten oudere tools in voor uitbuiten van kwetsbare Java-implementaties image

Dit blijkt uit onderzoek van Cisco Talos. Web shells worden ingezet tegen kwetsbare of ongepatchte webapplicaties en bieden een toegangspoort tot de systemen van slachtoffers. In 35 procent van de incidenten worden open-source en publiek beschikbare web shells gebruikt, een forse toename ten opzichte van minder dan 10 procent in het vorige kwartaal.

Iets minder ransomware

Hoewel ransomware dit kwartaal een iets kleiner aandeel heeft in de waargenomen dreigingen, neemt het aantal ransomware- en pre-ransomware-incidenten tegen het einde van het jaar toe. Het gaat daarbhij met name om besmettingen met BlackBasta-ransomware. Ransomware en gerelateerde aanvallen vormen bijna 30 procent van de engagements, waarbij gecompromitteerde accounts in 75 procent van de gevallen worden gebruikt voor initiële toegang.

MFA blijkt opnieuw een cruciale verdedigingsmaatregel, aangezien geen enkele getroffen organisatie MFA correct had geïmplementeerd of het werd omzeild via social engineering. Talos IR signaleert ook een toename in het gebruik van remote access-tools, zoals Splashtop en AnyDesk, voor laterale beweging binnen netwerken.

Onderwijs is meest getroffen sector

Het onderwijs blijft voor het tweede kwartaal op rij de meest getroffen sector, goed voor bijna 30 procent van de engagements. Exploitatie van publiek toegankelijke applicaties wordt voor het eerst in meer dan een jaar de meest waargenomen methode van initiële toegang, wat grotendeels te wijten is aan de stijging in web shell- en ransomware-incidenten.

Daarnaast wordt sinds begin december een golf van password-spraying aanvallen waargenomen, die leidt tot massale inlogpogingen en accountvergrendelingen. Dit benadrukt de noodzaak van sterke wachtwoordbeleid en MFA om ongeautoriseerde toegang te beperken.

'Pas MFA toe op alle kritieke diensten en update software'

Om de risico’s te beperken, raadt Talos IR organisaties aan om MFA op alle kritieke diensten af te dwingen, regelmatige software-updates en segmentatie van netwerken te implementeren en goed geconfigureerde EDR-oplossingen te gebruiken. In 40 procent van de web shell-incidenten speelt slechte netwerksegmentatie een rol bij laterale beweging van aanvallers. Daarnaast wordt in 25 procent van de incidenten misbruik van ontbrekende of verkeerd geconfigureerde EDR-oplossingen geconstateerd. De waargenomen trends onderstrepen het belang van proactieve cybersecuritymaatregelen en voortdurende monitoring om de steeds veranderende dreigingen het hoofd te bieden.

Arrow Platinum awards 22/01/2025 t/m 05/02/2025 BN +BW Schneider Electric Gold awards 29/01/2025 t/m 05/02/2025 BN + BW

Dutch IT events

Event icon

Event

Dutch IT Golf Cup

Event icon

Event

Cloud Expo

Alle events
Arrow Platinum awards 22/01/2025 t/m 05/02/2025 BN +BW

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.