4min Security

BEC en ransomware grootste cyberdreigingen

BEC en ransomware grootste cyberdreigingen

Business email compromise (BEC) en ransomware zijn in het tweede kwartaal van 2024 nogmaals geïdentificeerd als de meest prominente cyberdreigingen. Dat stelt Cisco Talos in de kwartaalanalyse: het Incident Response (Talos IR).

Deze dreigingen waren verantwoordelijk voor zestig procent van alle waargenomen incidenten. Hoewel er een lichte daling was in het aantal BEC-incidenten ten opzichte van het vorige kwartaal, blijft deze dreiging aanzienlijk. Ook ransomware-activiteiten namen weer toe.  Voor het eerst was er ook sprake van Mallox- en Underground Team-ransomware.

Voor het derde kwartaal op rij, begonnen de meeste aanvallen met het misbruik van gecompromitteerde inloggegevens van legitieme account. Dit was goed voor zestig procent van de incidenten en betekent een stijging van 25 procent ten opzichte van het vorige kwartaal.

De technologiesector werd dit kwartaal het zwaarst getroffen met cyberdreigingen. Zij kregen 24 procent van de incidenten te verduren. De gezondheidszorg, farmaceutische industrie en detailhandel staan op de tweede plaats. Het aantal incidenten in de technologiesector steeg met dertig procent vergeleken met het vorige kwartaal. Dit wijst er volgens de onderzoekers op dat deze sector steeds vaker als toegangspoort dient voor aanvallen op andere industrieën.

Nieuwe ransomware-families: Mallox en Underground Team

Ransomware-activiteiten namen in het tweede kwartaal met 22 procent toe ten opzichte van het vorige kwartaal. Ze waren betrokken bij dertig procent van de incidenten. In het afgelopen kwartaal vielen niet alleen nieuwe ransomwarefamilies zoals Mallox en Underground Team op, maar ook de gevestigde dreigingen van Black Basta en BlackSuit waren actief.

Mallox richt zich specifiek op kwetsbare Microsoft SQL-servers. Aanvallers gebruiken daarbij brute force-technieken om toegang te verkrijgen. Na het binnendringen tot de servers versleutelt Mallox de bestanden en eist losgeld. De aanvallers dreigen dat de gegevens openbaar worden gemaakt als het gevraagde bedrag niet wordt betaald. Bij de incidenten met Mallox vond Talos IR geen aanwijzingen van data-exfiltratie of laterale beweging binnen de netwerken van de slachtoffers.

Underground Team viel daarentegen op door gebruik van innovatieve technieken, zoals het strategisch her-activeren van eerder gedeactiveerde Active Directory-gebruikersaccounts. Hiermee kunnen ze hun privileges verhogen en lateraal door het netwerk bewegen. Tijdens hun aanvallen maken ze gebruik van Secure Shell (SSH) voor laterale beweging en zetten ze extra accounts in om persistentie te waarborgen. Een andere opmerkelijke tactiek van Underground Team is intimiderende berichten sturen naar persoonlijke e-mailaccounts van medewerkers. Zo oefenen ze druk uit en dwingen zo slachtoffers aan hun eisen te voldoen.

Escalatie van cyberdreigingen

Een meer bekende ransomwaregroep is Black Basta, die agressieve aanvallen met verschillende technieken voor initiële toegang, zoals phishing en het uitbuiten van kwetsbaarheden. Deze groep richt zich op zowel Windows- als Linux en gebruikt vaak de open-source tool Rclone om gegevens te bemachtigen. Black Basta staat er ook om bekend beveiligingstools zoals Windows Defender uit te schakelen voordat de ransomware het systeem binnenkomt.

BlackSuit uit de RaaS-groep is sinds mei 2023 actief. BlackSuit vertoont sterke overeenkomsten met de Royal-groep. Dit suggereert dat BlackSuit mogelijk een rebranding is van Royal. Deze ransomware richt zich op zowel Windows- als Linux-systemen. Het gebruikt legitieme tools zoals Microsoft PowerToys en Mimikatz voor laterale beweging en gegevensdiefstal. Ook BlackSuit past geavanceerde technieken toe, zoals sandbox-evasie, om detectie te vermijden en versleutelt gegevens voordat ze losgeld eisen. Een opvallende bevinding dit kwartaal was dat in tachtig procent van de ransomware-incidenten geen multi-factor authenticatie (MFA) was geïmplementeerd op kritieke systemen, wat het voor aanvallers makkelijker maakte om toegang te krijgen en schade aan te richten.

Dit kwartaal merkte Talos IR ook een lichte toename op in aanvallen gericht op netwerkapparatuur. Dit was goed voor 24 procent van de incidenten. Deze aanvallen bestonden onder andere uit wachtwoordspraying, kwetsbaarheidsscans en het uitbuiten van verouderde of slecht geconfigureerde systemen. Regelmatig updaten en actief toezicht houden op netwerkapparatuur is essentieel om de risico’s van cyberaanvallen te verkleinen.

Tip:

  • 75 miljoen dollar losgeld betaald na ransomware-aanval