Barracuda: aanvallers misbruiken ScreenConnect voor remote access en gebruiken gestolen credentials voor ransomware en datadiefstal
Het Security Operations Center (SOC) van Barracuda heeft recent verschillende trends gesignaleerd in het cyberdreigingslandschap. Cybercriminelen misbruiken steeds vaker kwetsbare versies van ScreenConnect - een tool voor remote support voor beheer - voor toegang en zetten gestolen of gekochte inloggegevens in voor ransomware en datadiefstal. Ook zien de onderzoekers een groeiend aantal loginpogingen op Microsoft 365-accounts vanuit vreemde landen.
Bevindingen:
- Toenemend misbruik van ScreenConnect voor ongeautoriseerde remote toegang - Aanvallers maken steeds vaker misbruik van ScreenConnect, waarbij zij endpoints proberen te koppelen aan bestaande omgevingen of dit tool zelf installeren om hosts op afstand volledig over te overnemen. Omdat ScreenConnect een legitiem en populair remote beheer platform is, wordt misbruik niet altijd direct gedetecteerd. Een ernstige kwetsbaarheid in oudere ScreenConnect-versies heeft dit risico vergroot. Hoewel er op 24 april 2025 een patch is uitgebracht, maken criminelen nog steeds misbruik van niet-gepatchte systemen om ransomware te installeren, data te stelen en zich verder door netwerken te bewegen.
- Ransomware en datadiefstal met gestolen of gekochte credentials - Cybercriminelen kopen of stelen steeds vaker gebruikersnamen en wachtwoorden om daarmee bedrijfsnetwerken binnen te dringen. Eenmaal binnen, installeren ze ransomware of stelen ze gevoelige data. Omdat de aanvallers legitieme inloggegevens gebruiken, lijken hun acties op normaal gebruikersgedrag. Barracuda’s SOC-analisten herkennen dergelijke aanvallen aan de hand van subtiele signalen zoals afwijkend gebruik van beheertools, herhaalde of gelijktijdige inlogpogingen en het onverwacht aanmaken van remote services.
- Stijging in Microsoft 365-inlogpogingen vanuit vreemde landen - Het SOC-team ziet een duidelijke stijging in het aantal inlogpogingen op Microsoft 365-accounts vanuit landen waar organisaties zelf niet actief zijn. Dit duidt erop dat criminelen proberen in te breken met gestolen inloggegevens. Indien ze zij toegang krijgen, kunnen ze e-mails en bestanden inzien, zich voordoen als legitieme medewerkers en interne phishingcampagnes starten om zich verder door het netwerk te verplaatsen
Organisaties lopen risico als ze:
- Software en systemen niet tijdig updaten of patches overslaan
- Geen sterk wachtwoordbeleid of consequente MFA-implementatie hebben
- Geen detectiemogelijkheden hebben voor afwijkende logins of misbruik van beheertools
- Medewerkers onvoldoende trainen in cybersecurity awareness
Meer informatie is te vinden op: https://blog.barracuda.com/2025/12/02/soc-threat-radar-december-2025
Meer over
Lees ook
Orange Cyberdefense: Amerikaanse exit uit cybersamenwerking schaadt vooral VS, Europa kan door
De VS zetten een streep door de financiering van een aantal internationale cyberveiligheidsverbanden. De getroffen organisaties spelen een belangrijke rol bij grensoverschrijdende informatie-uitwisseling, gezamenlijke attributie van cyberaanvallen en het versterken van digitale weerbaarheid.
Het aantal phishing-kits is in 2025 verdubbeld: slimmer, innovatiever, maar ook voorspelbaar
Volgens Barracuda’s 2025 phishing-review is vorig jaar het aantal bekende phishing-as-a-service (PhaaS)-kits verdubbeld. Daardoor is de druk toegenomen op de securityteams die organisaties moeten verdedigen tegen deze steeds veranderende dreiging.
Toegang goedgekeurd: phishing met device code autorisatie voor accountovernames
Onderzoekers van Proofpoint hebben meerdere dreigingsclusters geobserveerd die device code phishing gebruiken. Hierdoor geven gebruikers onbewust toegang aan dreigingsactoren tot hun Microsoft 365-account. Over het algemeen zet een aanvaller social engineering-technieken in om in te loggen