Uit onderzoek van Cisco Talos blijkt dat cybercriminelen gemiddeld tussen de 17 en 44 dagen ongemerkt in bedrijfsnetwerken verblijven. De onderwijssector blijft het meest getroffen door cyberaanvallen, waarbij aanvallers steeds vaker social engineering gebruiken om zich voor te doen als IT-personeel.

Dat schrijft Cisco Talos in de nieuwste kwartaalrapportage. Bij alle ransomware-incidenten werd gebruikgemaakt van remote access tools, een significante toename ten opzichte van voorgaande kwartalen. Daarnaast zagen ze een sterke stijging in password-spraying aanvallen, waarbij hackers proberen toegang te krijgen door herhaaldelijk verschillende wachtwoorden te proberen.

Nieuwe TorNet-backdoor

Talos ontdekte daarnaast een nieuwe campagne die vooral actief is in Polen en Duitsland. De aanvallers gebruiken geavanceerde phishingtechnieken. Ze verspreiden verschillende payloads, waaronder Agent Tesla, Snake Keylogger en de nieuwe, ongedocumenteerde backdoor TorNet. De verspreiding vindt plaats via PureCrypter-malware. Er wordt vertrouwd op een geplande Windows-taak, die zelfs bij een lage batterijstatus de infectie kan voltooien. Ook verbindt de campagne de Windows-machine met het TOR-netwerk door gebruik te maken van TorNet voor geheime C2-communicatie en het voorkomen van detectie.

De aanvallers gebruiken geavanceerdere methoden om detectie te voorkomen. Ze verbreken tijdelijk de verbinding van de Windows-systemen voordat ze hun payload uitvoeren. Daarna wordt de connectie weer opgezet. Dat wijst er volgens Cisco Talos op dat de cybercrimecampagne detectie door cloudsecuritytools probeert te omzeilen.

Tip: Cisco waarschuwt voor brute-force-aanvallen op VPN- en SSH-toepassingen