Criminelen achter ransomware-aanvallen weten in de meeste gevallen de beveiligingssoftware van hun slachtoffers uit te schakelen of te verwijderen. Dat stelt Cisco in het jaaroverzicht over 2024, op basis van de incidenten die het vorig jaar onderzocht (pdf). Het uitschakelen van aanwezige beveiligingsoplossingen is vaak één van de eerste acties die aanvallers op een gecompromitteerd netwerk ondernemen, aldus de onderzoekers.

Aanvallers maken daarbij vaak gebruik van endpoint-oplossingen die geen agent of connector wachtwoord vereisen en/of niet goed waren geconfigureerd, laat Cisco verder weten. Van alle ransomware-aanvallen die het bedrijf vorig jaar onderzocht lukte het aanvallers in 48 procent van de gevallen om de beveiliging van slachtoffers uit te schakelen. Bij 31 procent van de aanvallen was dit niet door de aanvallers geprobeerd en bij zeventien procent kon dit niet worden vastgesteld. In slechts vier procent lukte het de aanvallers niet om de beveiliging uit te schakelen.

"Aanvallers de-installeren endpoint-beveiligingsproducten vaak snel, die de uitrol van dreigingen zoals ransomware op het systeem kunnen detecteren. Ze passen bepaalde oplossingen ook aan, zoals het creëren van nieuwe firewall rules waardoor de aanvaller remote toegang krijgt, en verwijderen bewijs van hun activiteit door shadow copies te verwijderen en logbestanden op te schonen", merken de onderzoekers op.

Verder blijkt dat veel beveiligingsoplossingen niet goed zijn geconfigureerd. "Bij veel out-of-the-box beveiligingsproducten staan de baseline/default policies ingeschakeld, maar organisaties vergeten vaak de behoeftes van hun eigen netwerken te configureren. Daardoor zagen we veel gevallen waarbij ransomware-aanvallen succesvol waren in omgevingen waar security policies alleen op "audit-only" mode stonden ingeschakeld, wat inhoudt dat het product een beheerder alleen waarschuwt voor malafide activiteit, maar die niet automatisch blokkeert."

Cisco onderzocht ook hoe ransomware-aanvallers toegang tot de netwerken van hun slachtoffers krijgen. In bijna zeventig procent van de gevallen gebeurde dit door middel van 'geldige accounts'. Aanvallers weten door middel van gestolen inloggegevens toegang tot deze accounts te krijgen. Misbruik van publiek toegankelijke applicaties was in negentien procent van de incidenten de primaire oorzaak. Het jaaroverzicht laat tevens zien dat aanvallers vaak remote access software installeren om toegang tot het netwerk te behouden, zoals AnyDesk, PsExec en PuTTY. Hierover zegt Cisco dat organisaties één of twee oplossingen moeten toestaan, om vervolgens alle andere remote access tools te blokkeren.