In het kort
- Aanvallers richten zich steeds vaker op gebruikersidentiteiten om toegang te krijgen tot systemen en gegevens.
- Door privileges te verhogen kunnen aanvallers beveiligingssoftware uitschakelen en ransomware installeren zonder dat dit wordt opgemerkt.
- Bedrijven moeten prioriteit geven aan meervoudige authenticatie.
Cyberbeveiligingsrisico’s blijven zich ontwikkelen, waarbij identiteitsfraude en misbruik van beheerdersrechten tot de grootste risico’s voor organisaties behoren. Het nieuwe Managed XDR Global Threat Report van Barracuda belicht de tactieken die aanvallers gebruiken en wijst op belangrijke waarschuwingssignalen.
Identiteit als nieuwe perimeter
Het rapport benadrukt de verschuiving in de cybersecurity, waar identiteit de nieuwe perimeter is geworden. Uit analyse van miljarden IT-gebeurtenissen blijkt dat aanvallers zich steeds vaker richten op gebruikersidentiteiten. Opvallend is dat 32 procent van de aanvallen begon met een abnormale Microsoft 365-aanmelding.
Raynaud Schokkenbroek, Manager Solution Architect bij Barracuda, legt uit dat aanvallers verder gaan dan het misbruiken van technische kwetsbaarheden. Gestolen inloggegevens spelen een belangrijke rol bij verkenning en aanvallen. Eenmaal binnen in een systeem krijgen ze stiekem beheerdersrechten en schakelen ze beveiligingstools uit, waardoor ze vaak volledige controle krijgen voordat de organisatie zich bewust wordt van de inbreuk.
Tactieken voor het uitbreiden van rechten
Het uitbreiden van rechten, het proces waarbij je toegang krijgt tot hogere niveaus binnen een systeem, is een veelvoorkomend doel van cybercriminelen. Hierdoor kunnen ze beveiligingssoftware uitschakelen en ransomware installeren zonder dat dit wordt opgemerkt. Het rapport beschrijft specifieke tactieken die door aanvallers worden gebruikt:
- In Windows-omgevingen betrof 42 procent van de aanvallen het toevoegen van een gebruiker aan een groep met hoge rechten, zoals domeinbeheerders.
- In Microsoft 365 betrof 16 procent van de incidenten het aanmaken van een nieuwe gebruiker met globale beheerdersrechten, waardoor volledige controle over de cloudomgeving werd verkregen.
Zorgwekkende trends in aanvalstechnieken
Het rapport identificeert ook zorgwekkende trends in aanvalstechnieken:
- Fileless malware: Bij 66 procent van de incidenten met fileless malware werd PowerShell gebruikt, waardoor traditionele scanners niet goed werkten.
- Password spraying: Bij 44 procent van de firewallgerelateerde incidenten probeerden aanvallers veelgebruikte wachtwoorden te gebruiken voor bekende gebruikersnamen.
- Social engineering: 34 procent van de incidenten begon met aanvallers die gebruikers misleidden om kwaadaardige bestanden te downloaden.
Cruciale beveiligingsmaatregelen uitschakelen
Het rapport wijst op de zorgwekkende praktijk van het uitschakelen of verkeerd configureren van belangrijke beveiligingsmaatregelen. In 94 procent van de onderzochte gevallen was de ‘endpoint agent’ uitgeschakeld, waardoor er een blinde vlek ontstond voor IT- en beveiligingsteams.
Barracuda raadt organisaties aan om strikte meervoudige authenticatie (MFA) te implementeren, te controleren op onverwachte veranderingen en actief toezicht te houden op ‘bevoorrechte groepen’ in zowel Windows- als cloudomgevingen.