Cybercriminaliteit hoger tijdens vakantieperiode

Uit Barracuda’s XDR-gegevens blijkt dat in de vakantieperiode tussen juni en september 2022 de belangrijkste bedreigingen succesvolle Microsoft 365-aanmeldingen uit verdachte landen waren (goed voor 40% van de aanvallen), gevolgd door communicatie vanaf het netwerk naar een bekend gevaarlijk IP-adres (15% van de aanvallen) en pogingen tot brute force authentication van gebruikers (10%).

Het volume, de aard en de intensiteit van cyberdreigingen tegen organisaties varieert in de loop van de tijd, en weerspiegelt het veranderende gedrag van aanvallers en de verbeterde beveiligingsmethoden. Inzicht in deze trends kan organisaties helpen beter te anticiperen op aanvallen en hun verdediging voor te bereiden. Zeker nu de volgende vakantieperiode voor de deur staat.

Van alarmen tot waarschuwingen van klanten

In januari was slechts ongeveer 1,25% van de dreigingsalarmen of 1 op 80 (17.500) ernstig genoeg om een beveiligingswaarschuwing aan de klant te rechtvaardigen – maar ga snel naar juni tot september en het stijgt tot 1 op 5 (96.428).

De dreigingswaarschuwingen voor de zomer

Van de 476.994 dreigingsalarmen die tussen juni en september door de experts van Barracuda zijn geanalyseerd, waren 96.428 (20%) ernstig genoeg om de klant te waarschuwen voor het potentiële gevaar en aan te sporen corrigerende maatregelen te nemen

De drie meest gedetecteerde cyberbedreigingen tijdens vakantieperiode waren als volgt:

1. Succesvolle Microsoft 365-aanmelding vanuit een verdacht land – geclassificeerd als “hoog risico”. Dit type aanval was goed voor 40% van alle aanvallen in de periode van 90 dagen tussen juni en eind september. De landen die een automatische beveiligingswaarschuwing geven zijn Rusland, China, Iran en Nigeria. Een succesvolle inbreuk op een Microsoft 365-account is bijzonder riskant omdat het een indringer potentiële toegang biedt tot alle verbonden en geïntegreerde activa die het doelwit op het platform heeft opgeslagen. Analisten kijken onder meer naar bewijzen van logins in meerdere landen op hetzelfde account, zoals een log-in vanuit het VK een uur later gevolgd door een log-in vanuit Rusland of China. Slechts 5% van deze alarmen waren “false positives” legitieme logins. Bedreigingen met een “hoog risico” zijn gebeurtenissen die ernstige schade kunnen toebrengen aan de klantomgeving en onmiddellijke actie vereisten.
2. Communicatie naar een IP-adres dat bekend is bij Threat Intelligence – “middelgroot risico”. Dit type aanval, goed voor 15% van alle aanvallen in deze periode, omvat elke poging tot kwaadaardige communicatie vanaf een apparaat binnen het netwerk naar een website of bekende commando- en controleserver, enz. “Middelmatig risico” vereist mitigatie, maar zou als op zichzelf staande gebeurtenis doorgaans niet tot aanzienlijke gevolgen leiden.
3. Poging tot authenticatie door brute force- “Middelmatig risico”. Dit is goed voor 10% van alle aanvallen: geautomatiseerde aanvallen die proberen door te dringen in de verdediging van een organisatie door eenvoudigweg zoveel mogelijk combinaties van naam en wachtwoord te gebruiken.

Wat betekenen de gegevens?

Hackers richten zich op bedrijven en IT-beveiligingsteams wanneer deze waarschijnlijk over te weinig middelen beschikken. Dat kan zijn in het weekend, ’s nachts of tijdens een vakantieperiode, zoals de zomer.

Dit wordt weerspiegeld in de XDR-gegevens, die duidelijk laten zien dat ondanks een algemene daling van het aantal bedreigingen, een aanzienlijk groter deel van de tijdens de zomermaanden ontdekte bedreigingen zich aan de bovenkant van de schaal bevond. Dit is de moeite waard om in gedachten te houden nu we weer een vakantieseizoen ingaan.

Wat kan je dus nu doen?

Denk er dan aan deze essentiële beveiligingsmaatregelen te versterken:

• • Multifactorauthenticatie (MFA) inschakelen voor alle toepassingen en systemen

• • Ervoor zorgen dat van alle kritieke systemen een back-up wordt gemaakt

• • Een robuuste beveiligingsoplossing implementeren die e-mailbescherming en Endpoint Detection and Response (EDR) omvat.

• • Zichtbaarheid in de hele IT-infrastructuur

• • Een Security Operations Center (SOC) dat 24 uur per dag (24×7) beschikbaar is om cyberbedreigingen te bewaken, op te sporen en erop te reageren – intern of via een betrouwbare dienstverlener.

Ook een tien voor security?

Neem dan contact met ons op. We kunnen in jouw cyberweerbaarheid ondersteunen met ons Security Operations Center (SOC), pentesten, vulnerability scan en security awareness. Dat bieden we aan als losse diensten maar ook als een pakket. Zodat jij je kan focussen op je business en wij zorgen voor een tien op jouw cybersecurity.