Cisco’s threat intelligence-divisie Talos ziet in het derde kwartaal van 2025 een forse verschuiving in het dreigingslandschap. Het aandeel ransomware-incidenten daalde van 50 naar 20 procent, maar de opkomst van nieuwe varianten en het misbruik van recente kwetsbaarheden houden het risico hoog.
Volgens Talos werden dit kwartaal drie nieuwe ransomware-varianten ontdekt: Warlock, Babuk en Kraken. Bekende families als Qilin en LockBit bleven eveneens actief. In sommige gevallen vond de ransomware-aanval al binnen twee dagen na de initiële inbraak plaats.
Een opvallend incident werd toegeschreven aan Storm-2603, een vermoedelijk vanuit China opererende groep die het legitieme securityhulpmiddel Velociraptor gebruikte voor spionage en persistente toegang. Dat is volgens Talos de eerste keer dat dit forensische hulpprogramma in ransomware-campagnes is aangetroffen.
Exploitatie van publieke applicaties neemt sterk toe
Meer dan zestig procent van de aanvallen begon met het uitbuiten van publiek toegankelijke applicaties, een forse stijging ten opzichte van minder dan tien procent in het vorige kwartaal. Vooral kwetsbaarheden in lokale Microsoft SharePoint-servers werden grootschalig misbruikt via de zogeheten ToolShell-aanvalsketen. Aanvallers scannen automatisch op kwetsbare systemen. Zodra er een lek bekend wordt, duurt het vaak maar dagen voor ze het uitbuiten.
Voor het eerst sinds Talos zijn kwartaalanalyses publiceert, waren overheidsorganisaties de meest aangevallen sector. Vooral lokale instanties, zoals gemeenten, scholen en zorginstellingen, kregen te maken met cyberaanvallen. Talos constateert dat zowel financieel gemotiveerde criminelen als een aan Rusland gelieerde APT-groep deze organisaties viseerden, mede vanwege hun vaak verouderde infrastructuur en beperkte beveiligingsbudgetten.
MFA-misbruik in opmars
Bijna een derde van de onderzochte incidenten betrof aanvallers die multi-factor authenticatie (MFA) omzeilden of misbruikten. Daarbij werd gebruikgemaakt van technieken zoals “MFA bombing” of het misbruiken van zwakke instellingen. Talos adviseert organisaties om niet alleen MFA in te schakelen, maar ook actief verdachte inlogpogingen te monitoren en beleid rond authenticatie te versterken.
