Identiteitsfraude en misbruik van adminrechten behoren tot de grootste cyberrisico’s voor organisaties

Identiteitsfraude en misbruik van adminrechten behoren tot de belangrijkste cyberrisico’s voor organisaties, volgens Barracuda’s Managed XDR Global Threat Report (link). Eerdere cijfers lieten al zien dat firewalls een kritiek aanvalspunt zijn. Het rapport laat ook zien welke tactieken aanvallers gebruiken om binnen te dringen en hun mogelijkheden binnen netwerken te vergroten. Vooral afwijkende Microsoft 365-logins en het manipuleren van toegangsrechten blijken belangrijke waarschuwingssignalen.

Identiteit is de nieuwe perimeter

Uit analyse van biljoenen IT-events blijkt dat aanvallers zich massaal richten op de identiteit van gebruikers. In maar liefst 32% van de gevallen was een afwijkende Microsoft 365-login de eerste indicator van een aanval. Daarnaast werd in 17% van de incidenten ‘impossible travel’ gedetecteerd, waarbij een gebruiker binnen korte tijd inlogt vanaf twee locaties die fysiek te ver uit elkaar liggen om de tussenliggende afstand binnen de verstreken tijd te kunnen overbruggen.

“Aanvallers zoeken niet enkel meer naar een technisch gat; gestolen inloggegevens spelen een steeds belangrijkere rol in verkenning/aanval”, zegt Raynaud Schokkenbroek, Manager Solution Architect - Western Europe, Barracuda. “Zodra ze binnen zijn, nestelen ze zich ongemerkt in systemen om adminrechten te verkrijgen en securitytools uit te schakelen. Tegen de tijd dat een organisatie door heeft dat er iets mis is, hebben de aanvallers vaak al de volledige controle over de omgeving. Het beveiligen van digitale identiteiten is dan ook een van de belangrijkste verdedigingslinies van dit moment.”

Escalatie van privileges: de weg naar volledige controle

Wanneer cybercriminelen eenmaal toegang hebben tot een systeem, is hun eerste doel vaak het verkrijgen van adminrechten (‘privilege escalation’). Hiermee kunnen ze bijvoorbeeld securitysoftware uitschakelen om vervolgens ongestoord ransomware uit te rollen. Het rapport laat zien hoe aanvallers te werk gaan:

Binnen Windows: in 42% van de gevallen voegde de aanvaller een gebruiker toe aan een groep die beschikt over hoge rechten (bijv. Domain Administrators). Binnen Microsoft 365: in 16% van de incidenten werd een nieuwe gebruiker toegevoegd aan de Global Administrator groep, om volledige controle over de cloudomgeving te verkrijgen.

PowerShell en password spraying

Het rapport identificeert ook een aantal specifieke combinaties van technieken die een belangrijke waarschuwing vormen:

• Bestandsloze malware: bij 66% van de incidenten met bestandsloze (‘fileless’) malware werd PowerShell gebruikt, waardoor traditionele scanners de aanval vaak niet opmerken.
• Password spraying: bij 44% van de firewall-gerelateerde incidenten probeerden aanvallers grote aantallen veelvoorkomende wachtwoorden uit op bekende gebruikersnamen.
• Social Engineering: 34% van de incidenten begon met het misleiden van gebruikers om schadelijke bestanden te downloaden.  

Uitgeschakelde securitymaatregelen

Alarmerend is dat organisaties soms belangrijke securitymaatregelen uitschakelen of niet goed configureren. Zo bleek in 94% van onderzochte instanties de ‘endpoint agent’ uitgeschakeld. Als de security op het device is uitgeschakeld, ontstaat een blinde vlek voor het IT- of securityteam, met alle risico’s van dien.

Aanbevelingen voor organisaties

Barracuda adviseert organisaties om multi-factor authenticatie (MFA) strikt te handhaven, te monitoren op onverwachte wijzigingen en om continu toezicht te houden op 'Privileged Groups' binnen zowel Windows- als cloudomgevingen. Daarnaast zouden organisaties prioriteit moeten geven aan detectie van PowerShell-misbruik.

De bevindingen in het rapport zijn gebaseerd op de Barracuda Managed XDR dataset, die meer dan twee biljoen IT-events bevat die in 2025 zijn verzameld, waaronder bijna 600.000 security alerts en meer dan 300.000 beveiligde endpoints, firewalls, servers, cloudassets en meer.  

Het volledige rapport is hier te downloaden: https://www.barracuda.com/reports/managed-xdr-global-threat-report.