In april, mei en juni steeg het aantal cyberaanvallen met 25 procent ten opzichte van het eerste kwartaal. Hackers slaagden erin om bedrijfsnetwerken te infiltreren door misbruik te maken van gecompromitteerde inloggegevens. De zorgsector werd het vaakst getroffen door cyberaanvallen.
Dat zijn enkele uitkomsten van de meest recente editie van het Cisco Talos Incident Response Quarterly Report, dat gaat over het tweede kwartaal van 2023.
Cisco Talos Incident Response (Talos IR) reageerde in het afgelopen kwartaal op een kwart meer incidenten waarbij bedrijfsgegevens waren gestolen en klanten werden afgeperst, zonder dat hierbij gijzelsoftware werd ingezet. Datadiefstal en afpersing was daarmee de grootste digitale dreiging in het tweede kwartaal.
Het cybersecuritybedrijf kreeg eveneens veel te maken met ransomware-aanvallen. Daarbij worden bedrijfsbestanden versleuteld, waardoor werknemers niet langer toegang hebben tot deze data. De daders dreigen de buitgemaakte gegevens te verkopen of openbaar te maken, tenzij het slachtoffer bereid is om losgeld te betalen. In dat geval krijgt hij de decryptie- of decoderingssleutel om het digitale slot van de bestanden te verwijderen.
Deze vorm van afpersing, ook wel dubble extortion genoemd, was goed voor 17 procent van alle opdrachten van Talos IR. Het beveiligingsbedrijf kreeg voornamelijk te maken met LockBit- en Royal-ransomware. Ook ransomware-families als 8Base en MoneyMessage doken regelmatig op.
Net als in de eerste drie maanden van het jaar was de zorgsector het voornaamste slachtoffer van hackers. Een vijfde van de incidentresponse-opdrachten (22 procent) werd uitgevoerd tegen zorginstanties. Na de gezondheidszorg waren financiële dienstverleners en nutsbedrijven als energiemaatschappijen en waterzuiveringsinstallaties geliefde doelwitten van cybercriminelen.
De aanvallers maakten veelal misbruik van gecompromitteerde gegevens om in te breken bij bedrijven en organisaties. In 40 procent van de gevallen wisten ze bedrijfsnetwerken binnen te dringen door gelekte inloggegevens te gebruiken. Deze zijn mogelijk verkregen via datalekken bij andere partijen, gekocht op het dark web of phishingcampagnes. Dat is een stijging van 22 procent ten opzichte van het eerste kwartaal van dit jaar.
Verder bleek PowerShell, Microsofts scriptplatform voor het automatiseren van taken en configuratiemanagement, een populaire methode om toegang te krijgen tot vertrouwelijke gegevens. Bij meer dan de helft van de cyberaanvallen in het afgelopen kwartaal werd PowerShell gebruikt. Volgens de onderzoekers komt dat door de onzichtbaarheid, het gemak en de uitgebreide beheermogelijkheden van het hulpprogramma.
Een belangrijke reden dat het aantal cyberaanvallen in het tweede kwartaal toenam, is het ontbreken of verkeerd implementeren van multifactorauthenticatie (MFA). In meer dan 40 procent van de gevallen was dat de oorzaak van beveiligingsincidenten. In de gevallen dat hackers gebruikmaakten van gecompromitteerde inloggegevens, bleek dat 90 procent geen MFA had ingeschakeld. In sommige gevallen werden slachtoffers overspoeld met MFA-pushmeldingen door cybercriminelen. Om hiervan af te komen, gaven ze toestemming en konden hackers inbreken op bedrijfsnetwerken.
“De bevindingen van Cisco Talos over de cyberdreigingen van Q2 benadrukken het belang van sterke wachtwoorden en het inschakelen van MFA waar mogelijk. Datadiefstal en ransomware aanvallen komen steeds vaker voor in verschillende sectoren. Het is en blijft daarom voor iedereen belangrijk om alert te blijven op verdachte digitale activiteiten”, zo benadrukt Jan Heijdra, beveiligingsspecialist bij Cisco Nederland.
