Aanvallen op externe remote services zoals VPN’s, RDP en VDI zijn met 21,3% toegenomen. Dat blijkt uit het nieuwste Top Cyber Attacker Techniques-rapport van ReliaQuest, leverancier van AI-gedreven security operations. Het rapport analyseerde klantdata, detectiepatronen en cybercrimineel gedrag in de periode december 2024 tot en met februari 2025, en biedt inzicht in de meest gebruikte aanvalstechnieken en snel opkomende malwarevarianten.
Cybercriminelen verleggen hun focus: drie dominante tactieken
Uit het rapport komt naar voren dat aanvallers zich steeds sneller aanpassen aan nieuwe omstandigheden. De drie meest voorkomende tactieken die momenteel worden ingezet, zijn gebaseerd op het MITRE ATT&CK-framework en richten zich op initiële toegang, code-executie en laterale beweging.
1. Forse stijging in brute-force aanvallen op externe remote services
Pogingen tot initiële toegang via diensten als VPN, RDP en VDI stegen met 21,3% ten opzichte van dezelfde periode vorig jaar. Vooral brute-force-aanvallen namen toe, mede door een grootschalige campagne eind januari 2025, gericht op via internet toegankelijke systemen met zwakke of gelekte inloggegevens. Door zich succesvol te authenticeren, weten aanvallers detectie te omzeilen en ongemerkt binnen te dringen.
Het is belangrijk dat organisaties hun externe remote services beter beveiligen. Koppel bijvoorbeeld MFA met beleid voor voorwaardelijke toegang en apparaatcertificaten voor VPN-verificatie. Controleer blootgestelde RDP-sessies, verwijder onbedoelde publiek gerichte instances en gebruik een jumpbox als beveiligde gateway in plaats van individuele systemen bloot te stellen.
2. MSHTA-misbruik rukt op als proxy-executietechniek
Het gebruik van MSHTA.exe, een legitieme Windows-tool voor het uitvoeren van HTML-applicaties, is met 7,8% gestegen en bezet nu de tweede plaats binnen de categorie ‘proxy execution’. De stijging wordt deels veroorzaakt door de toename van ClearFake, een JavaScript-framework dat gebruikers misleidt met nepcaptcha’s en schadelijke opdrachten laat uitvoeren via MSHTA.
Aanvallers kunnen zo code uitvoeren buiten de browser om, waarmee ze browsergebaseerde beveiligingen als Google Safe Browsing weten te omzeilen. Het gebruik van ClearFake steeg met 17% en verdrong SocGolish en Lumma naar de tweede en derde plaats.
Organisaties kunnen mailbox auditing in Microsoft 365 inschakelen om verdachte wijzigingen in inboxregels te detecteren. Controleer ook MSHTA.exe-activiteit door procesaanmaak te auditen en command-line logging in te schakelen, omdat aanvallers MSHTA.exe vaak gebruiken om payloads uit te voeren.
3. Interne spearphishing blijft belangrijkste methode voor laterale beweging
In 42% van de gevallen waarin aanvallers zich lateraal binnen netwerken verplaatsten, werd gebruikgemaakt van internal spearphishing. Hierbij worden gecompromitteerde accounts ingezet om phishingmails te sturen naar collega’s, waarbij mailboxregels worden aangepast om reacties te verbergen.
Het gebruik van vertrouwde identiteiten maakt deze methode bijzonder effectief, met risico’s als verdere accountcompromittering, malwareverspreiding of financiële schade.
Om zich hiertegen te beschermen kunnen organisaties risicovolle accounts beveiligen met Fast IDentity Online (FIDO), dat bestand is tegen AiTM-aanvallen. Ook is het verstandig om medewerkers te trainen in het herkennen van phishing – niet alleen van externe bronnen, maar juist ook van betrouwbare bronnen zoals partners of interne accounts.
Retailsector opvallend vaak doelwit op leksites
Hoewel de industriesector en technische dienstverlening de lijst aanvoeren op ransomware-leksites, valt vooral de retailsector op. In drie maanden tijd steeg het aantal vermeldingen met 153%, waarmee de sector van plek vijf naar drie klom. Een vermoedelijke oorzaak is het misbruik van kwetsbaarheden in Cleo Harmony, software die in retail veel wordt gebruikt voor veilige bestandsoverdracht en gegevensintegratie.