Barracuda-onderzoek toont aan dat negen op de tien ransomware-incidenten in 2025 misbruik maakten van firewalls. In het snelste geval zaten er drie uur tussen de inbraak en de inzet van ransomware. Ook kwetsbaarheden van meer dan tien jaar oud blijken nog actief te worden uitgebuit.
De bevindingen van het Barracuda Managed XDR Global Threat Report zijn gebaseerd op meer dan twee biljoen IT-events die in 2025 werden verzameld, waaronder bijna 600.000 security alerts en data van ruim 300.000 beveiligde endpoints. Of, zoals Barracuda Networks het zelf schetst: 15 minuten geeft het bedrijf een alert aan een klant, terwijl het elk uur een cyberdreiging automatisch blokkeert.
Uit het rapprot blijkt dat aanvallers in 90 procent van de onderzochte ransomware-incidenten toegang kregen via firewalls. Dat gebeurde door het misbruiken van niet-gepatchte software of kwetsbare accounts. De meest gedetecteerde kwetsbaarheid (CVE-2013-2566) is dertien jaar oud. Het is een bug in het RC4-algoritme dat het TLS- en SSL-protocol hebben gebruikt. Wie gevrijwaard wil zijn van dit gevaar, dient TLS 1.3 te gebruiken. In algemene zin moet niemand het RC4-algoritme nog vertrouwen dat SSL 3.0, de meest recente versie voordat het door TLS werd vervangen, gebruikte. Oude servers of embedded-apparatuur kunnen deze oude kwetsbaarheid nog bevatten en moeten dus afgeschermd worden en waar mogelijk gepatcht.
Verouderde systemen kwetsbaar
Bij de snelste ransomware-aanval die Barracuda waarnam, vond de versleuteling drie uur na de initiële inbraak plaats. Het ging om de Akira-ransomware. Zo’n korte tijdspanne geeft verdedigers weinig tijd om de aanval te detecteren en erop te reageren. Want aanvallers maken actief gebruik van legitieme IT-tools zoals remote access-software en richten zich op onbeveiligde apparatuur. Het listige is dat aanvallers gebruikmaken van LOTL (Living Off The Land)-technieken, waarbij men legitieme applicaties inzet voor malafide doeleinden.
In 96 procent van de incidenten waarbij laterale bewegingen plaatsvonden, volgde een ransomware-aanval. Met andere woorden: als een aanval verder reikt dan een endpoint, is het zo goed als zeker dat de kwaadwillende data gaat versleutelen en mogelijk stelen. Die beweging blijkt ook de belangrijkste indicator van een naderende aanval.
We weten verder dat dergelijke laterale bewegingen verschillen en veranderen. Denk aan het feit dat hypervisors vaker een doelwit zijn geworden, omdat ze invloed hebben op meerdere systemen tegelijk.
Supply chain in het vizier
Daarnaast had 66 procent van de incidenten betrekking op de supply chain of een derde partij. Dat is een stijging ten opzichte van 45 procent in 2024. Aanvallers maken misbruik van zwakke plekken in third-party software om verdedigingsmechanismen te omzeilen. Recent onderzoek wees uit dat Cisco-firewalls al zes maanden onder vuur liggen door geavanceerde dreigingsgroepen.
“Organisaties en hun securityteams – vooral als dat ’team’ uit één IT-professional bestaat – staan voor een enorme uitdaging,” aldus Merium Khalid, Director SOC Offensive Security bij Barracuda. “Wat doelwitten kwetsbaar maakt, is vaak eenvoudig over het hoofd te zien: een enkel kwetsbaar apparaat, een account dat niet is uitgeschakeld toen iemand vertrok bij de organisatie, een inactieve applicatie die niet is bijgewerkt of een verkeerd geconfigureerde securityfeature. Aanvallers hoeven er maar één te vinden om succesvol te zijn.”