Identiteitsfraude en misbruik van toegangsrechten vormen volgens het Managed XDR Global Threat Report van Barracuda een belangrijk cyberrisico. Afwijkende Microsoft 365-logins en veranderingen in adminrechten blijken vaak vroege signalen van een aanval.
Identiteitsfraude en misbruik van adminrechten behoren tot de belangrijkste cyberrisico’s voor organisaties. Dat blijkt uit het Managed XDR Global Threat Report van Barracuda, dat gebaseerd is op analyse van grote hoeveelheden IT-events. Volgens het rapport vormen afwijkende Microsoft 365-logins en manipulatie van toegangsrechten vaak de eerste aanwijzingen dat een aanval plaatsvindt.
Digitale identiteiten
Uit de analyse blijkt dat aanvallers zich steeds vaker richten op digitale identiteiten. In 32 procent van de gevallen was een afwijkende Microsoft 365-login het eerste signaal van een aanval. Daarnaast werd bij 17 procent van de incidenten zogenoemde ‘impossible travel’ vastgesteld. Daarbij logt een gebruiker binnen korte tijd in vanaf twee locaties die fysiek te ver uit elkaar liggen om die afstand in de beschikbare tijd te overbruggen.
lees ook
Barracuda onthult nieuwe technieken om phishinglinks in e-mails te verbergen
Volgens Barracuda spelen gestolen inloggegevens een belangrijke rol bij het binnendringen van systemen. Aanvallers proberen na een eerste toegang onopgemerkt in een netwerk te blijven. Vervolgens proberen ze hogere toegangsrechten te verkrijgen en beveiligingsmechanismen uit te schakelen.
Privileges uitbreiden
Zodra aanvallers toegang hebben tot een systeem proberen ze vaak adminrechten te verkrijgen. Met dergelijke rechten kunnen ze bijvoorbeeld securitysoftware uitschakelen of ransomware verspreiden.
Binnen Windows gebeurde in 42 procent van de gevallen dat een gebruiker werd toegevoegd aan een groep met hoge rechten, zoals Domain Administrators. In cloudomgevingen werd in 16 procent van de incidenten een nieuwe gebruiker toegevoegd aan de Global Administrator-groep van Microsoft 365.
Combinatie van aanvalstechnieken
Het rapport beschrijft ook combinaties van technieken die vaak samen voorkomen bij aanvallen. Zo werd bij 66 procent van de incidenten met bestandsloze malware PowerShell gebruikt. Daardoor blijven dergelijke aanvallen vaak buiten beeld van traditionele beveiligingsscanners.
lees ook
Firewalls in 90 procent van ransomware-incidenten misbruikt
Password spraying vormt een andere veelgebruikte techniek. Bij 44 procent van de firewallgerelateerde incidenten probeerden aanvallers grote aantallen veelgebruikte wachtwoorden uit op bekende gebruikersnamen. Daarnaast begon 34 procent van de incidenten met social engineering, waarbij gebruikers worden misleid om schadelijke bestanden te downloaden.
Het rapport wijst ook op problemen met de configuratie van beveiligingsmaatregelen. In 94 procent van de onderzochte gevallen bleek de endpoint agent uitgeschakeld. Daardoor ontbreekt zicht op wat er op het apparaat gebeurt.