Onderwijs wereldwijd grootste doelwit cyberaanvallen door slimme ransomware

Opvallend is dat veel van deze aanvallen niet direct op financieel gewin gericht zijn, maar op het verkrijgen van nog meer inloggegevens. Slachtoffers worden naar valse inlogpagina’s geleid, waar zowel wachtwoorden als tokens voor multifactorauthenticatie (MFA) worden onderschept. Deze gegevens worden vervolgens gebruikt voor gerichte spearphishingcampagnes binnen organisaties.

Onderwijs meest getroffen sector

Ransomware was verantwoordelijk voor de helft van alle onderzochte incidenten, vergelijkbaar met het vorige kwartaal. 

Opvallend genoeg werd de onderwijssector wereldwijd het vaakst getroffen door cyberaanvallen in het afgelopen kwartaal. Dit is een duidelijke verschuiving ten opzichte van het eerste kwartaal, waarin geen incidenten bij onderwijsorganisaties werden vastgesteld. Ook in eerdere periodes, zoals de tweede helft van 2024, bleek de sector al kwetsbaar voor ransomware.

Kwetsbaarheid door oude software

In een derde van de ransomware-incidenten werd nog gebruikgemaakt van PowerShell 1.0, een verouderde versie zonder moderne beveiligingsfuncties voor antiviruscontrole. Dit maakt het mogelijk om detectie te omzeilen. In één geval werd zelfs de kernmap van het besturingssysteem toegevoegd aan de antivirusuitsluitingen.

De beveiligingsexperts van Cisco Talos raden daarom aan het gebruik van PowerShell 5.0 of hoger verplicht te stellen, zodat deze extra verdedigingslagen standaard actief zijn.

MFA-problemen blijven groot risico

Meer dan 40 procent van de onderzochte incidenten had te maken met verkeerd ingestelde, ontbrekende of omzeilde multifactorauthenticatie. Criminelen maken misbruik van bypass-codes, voegen apparaten toe of verwijderen de MFA-verplichting om toegang te krijgen.

Beveiligingsspecialisten benadrukken dat MFA niet alleen moet worden ingeschakeld, maar ook actief gemonitord, om te voorkomen dat deze verdedigingslaag onopgemerkt wordt uitgeschakeld of misbruikt