Samen waren deze dreigingen verantwoordelijk voor 60 procent van alle incidenten die Talos IR heeft waargenomen. Hoewel er een lichte daling werd opgemerkt in het aantal BEC-incidenten ten opzichte van het vorige kwartaal, blijft deze dreiging aanzienlijk. Tegelijkertijd namen ransomware-activiteiten weer toe, waarbij Talos IR voor het eerst werd geconfronteerd met Mallox- en Underground Team-ransomware.
Jan Heijdra (foto), Field CTO Security bij Cisco Nederland, zegt: “De analyse voor het tweede kwartaal laat zien dat de dreiging van BEC en ransomware wereldwijd groot blijft. De toename van aanvallen op de technologiesector en de aanhoudende kwetsbaarheid door gecompromitteerde inloggegevens onderstrepen de noodzaak van versterkte securitymaatregelen en bewustzijnstrainingen voor werknemers. Bij Cisco blijven we organisaties adviseren om robuuste beveiligingsprotocollen, zoals multi-factor authenticatie en regelmatige systeemupdates, te implementeren om zich beter te wapenen tegen deze groeiende dreigingen.”
Een opvallende trend is dat, voor het derde kwartaal op rij, het merendeel van de aanvallen begon met het misbruik van gecompromitteerde inloggegevens van legitieme accounts, goed voor 60 procent van de incidenten. Dit is een stijging van 25 procent ten opzichte van het vorige kwartaal. De technologiesector werd dit kwartaal het zwaarst getroffen, met 24 procent van de incidenten, gevolgd door de gezondheidszorg, farmaceutische industrie en detailhandel. Het aantal incidenten in de technologiesector steeg met 30 procent vergeleken met het vorige kwartaal, wat erop wijst dat deze sector steeds vaker als toegangspoort wordt gebruikt voor aanvallen op andere industrieën.
Ransomware-activiteiten namen in het tweede kwartaal met 22 procent toe ten opzichte van het vorige kwartaal en waren betrokken bij 30 procent van de incidenten. In het afgelopen kwartaal vielen niet alleen nieuwe ransomwarefamilies zoals Mallox en Underground Team op, maar ook de gevestigde dreigingen van Black Basta en BlackSuit waren actief.
Mallox richt zich specifiek op kwetsbare Microsoft SQL-servers, waarbij aanvallers brute force-technieken toepassen om toegang te verkrijgen. Na het binnendringen tot de servers versleutelt Mallox de bestanden en eist losgeld, met de dreiging dat de gegevens openbaar worden gemaakt als het gevraagde bedrag niet wordt betaald. Bij de incidenten met Mallox heeft Talos IR geen aanwijzingen gevonden van data-exfiltratie of laterale beweging binnen de netwerken van de slachtoffers.
Underground Team viel daarentegen op door hun gebruik van innovatieve technieken, zoals het strategisch her-activeren van eerder gedeactiveerde Active Directory-gebruikersaccounts. Hiermee kunnen ze hun privileges verhogen en lateraal door het netwerk bewegen. Tijdens hun aanvallen maken ze gebruik van Secure Shell (SSH) voor laterale beweging en zetten ze extra accounts in om persistentie te waarborgen. Een andere opmerkelijke tactiek van Underground Team is het sturen van intimiderende berichten naar persoonlijke e-mailaccounts van medewerkers om druk uit te oefenen en slachtoffers te dwingen aan hun eisen te voldoen.
Een meer bekende ransomwaregroep is Black Basta, die agressieve aanvallen met verschillende technieken voor initiële toegang, zoals phishing en het uitbuiten van kwetsbaarheden. Deze groep richt zich op zowel Windows- als Linux-systemen en maakt vaak gebruik van de open-source tool Rclone om gegevens te exfiltreren. Black Basta staat er ook om bekend beveiligingstools zoals Windows Defender uit te schakelen voordat de ransomware wordt uitgerold.
In dezelfde lijn van intensieve ransomware-aanvallen bevindt zich BlackSuit, een RaaS-groep die sinds mei 2023 actief is. BlackSuit vertoont sterke overeenkomsten met de Royal-groep, wat suggereert dat BlackSuit mogelijk een rebranding is van Royal. Deze ransomware richt zich op zowel Windows- als Linux-systemen en gebruikt legitieme tools zoals Microsoft PowerToys en Mimikatz voor laterale beweging en gegevensdiefstal. Ook BlackSuit past geavanceerde technieken toe, zoals sandbox-evasie, om detectie te vermijden en versleutelt gegevens voordat losgeld wordt geëist. Een opvallende bevinding dit kwartaal was dat in 80 procent van de ransomware-incidenten geen multi-factor authenticatie (MFA) was geïmplementeerd op kritieke systemen, wat het voor aanvallers makkelijker maakte om toegang te krijgen en schade aan te richten.
Dit kwartaal merkte Talos IR ook een lichte toename op in aanvallen gericht op netwerkapparatuur, wat goed was voor 24 procent van de incidenten. Deze aanvallen bestonden onder andere uit wachtwoordspraying, kwetsbaarheidsscans en het uitbuiten van verouderde of slecht geconfigureerde systemen. Talos IR benadrukt het belang van regelmatige updates en actief toezicht op netwerkapparatuur om de risico’s van cyberaanvallen te verkleinen.