Cisco Talos: identiteitsgerichte aanvallen en zero-day kwetsbaarheden nemen toe

De eerste zorg betreft het toenemende gebruik van geldige inloggegevens in cyberaanvallen. De analyse van Cisco Talos toont aan dat het gebruik van legitieme accounts als aanvalsvector het afgelopen jaar is gestegen van 35% naar 60%. Deze verschuiving wordt toegeschreven aan de toenemende decentralisatie van dataopslag, waardoor derde-partijaccounts een belangrijk doelwit vormen. Door gebruik te maken van geldige inloggegevens kunnen cybercriminelen systemen discreet infiltreren en traditionele detectiemethoden omzeilen.

Om deze dreiging te mitigeren, moeten organisaties prioriteit geven aan identiteitsbeveiliging. Dit omvat investeringen in robuuste identiteitsbeheer- en detectieoplossingen die ongeautoriseerde toegang kunnen detecteren en blokkeren, evenals verdachte activiteiten signaleren die wijzen op inbraakpogingen. Implementatie van multi-factor authenticatie (MFA) en regelmatige herziening van de beveiligingsinstellingen van accounts zijn cruciaal. Door identiteitsbeveiliging te versterken, kan de kans op succesvolle aanvallen aanzienlijk worden verminderd.

Daarnaast is het van groot belang om te stoppen met het opslaan van wachtwoorden in webbrowsers. Deze praktijken verhogen het risico op datalekken aanzienlijk, aangezien browsers kwetsbaar zijn voor aanvallen. Organisaties zouden in plaats daarvan gebruik moeten maken van password managers, die een veel veiligere alternatief bieden. Password managers versleutelen opgeslagen inloggegevens, waardoor deze beschermd blijven, zelfs wanneer de browser of het apparaat wordt gecompromitteerd. Door deze overstap te maken, kunnen organisaties de kans op inbreuken door gestolen of verzwakte wachtwoorden aanzienlijk verminderen.

Toename van zero-day kwetsbaarheden

Het tweede punt van zorg is de aanzienlijke stijging van zero-day kwetsbaarheden, vooral op mobiele platforms. Cisco Talos heeft in de afgelopen jaren een toename van 50% waargenomen in het misbruik van deze kwetsbaarheden, waarbij veel van deze activiteiten worden geïnitieerd door staat gesponsorde actoren. Deze groepen richten zich steeds vaker op mobiele apparaten, die nu een belangrijk doelwit zijn geworden voor zowel statelijke actoren als commerciële spywareleveranciers.

Organisaties moeten zich ervan bewust zijn dat het misbruik van zero-day kwetsbaarheden een aantrekkelijke aanvalsmethode blijft voor cybercriminelen. Dit vraagt om een proactieve benadering van beveiliging, waarbij het essentieel is om voortdurend te monitoren zodat verdachte activiteiten vroegtijdig kunnen worden gedetecteerd. Door voorbereid te zijn op geavanceerde aanvallen, kunnen organisaties snel reageren en de schade beperken.

Staat gesponsorde groepen en infostealers

Daarnaast viel het de onderzoekers op dat door de staat gesponsorde groepen steeds actiever worden. Een groep die bijzonder veel aandacht heeft getrokken, is Volt Typhoon. Deze groep is al meer dan 18 maanden actief en richt zich voornamelijk op kritieke infrastructuur en netwerksystemen, waarbij ze vaak gebruikmaken van anonimiseringsmethoden om detectie te vermijden. Volt Typhoon lanceert aanvallen met een mix van gecompromitteerde thuisrouters en IoT-apparaten, wat het voor verdedigers steeds moeilijker maakt om hun activiteiten te identificeren en te blokkeren.

Naast deze trends heeft het infostealer landschap zich aanzienlijk ontwikkeld volgens de onderzoekers. Infostealer-malware is een type schadelijke software die inloggegevens verzamelt, welke vervolgens kunnen worden verkocht of gebruikt voor secundaire aanvallen. Wat ooit een nichemarkt was, is nu geëvolueerd tot een geavanceerd ecosysteem, waar enorme hoeveelheden inloggegevens, waaronder domein access en persoonlijke accounts, worden geoogst en verkocht op ondergrondse forums.