Barracuda: aanvallers misbruiken ScreenConnect voor remote access en gebruiken gestolen credentials voor ransomware en datadiefstal

Het Security Operations Center (SOC) van Barracuda heeft recent verschillende trends gesignaleerd in het cyberdreigingslandschap. Cybercriminelen misbruiken steeds vaker kwetsbare versies van ScreenConnect - een tool voor remote support voor beheer - voor toegang en zetten gestolen of gekochte inloggegevens in voor ransomware en datadiefstal. Ook zien de onderzoekers een groeiend aantal loginpogingen op Microsoft 365-accounts vanuit vreemde landen. 

Bevindingen: 

• Toenemend misbruik van ScreenConnect voor ongeautoriseerde remote toegang - Aanvallers maken steeds vaker misbruik van ScreenConnect, waarbij zij endpoints proberen te koppelen aan bestaande omgevingen of dit tool zelf installeren om hosts op afstand volledig over te overnemen. Omdat ScreenConnect een legitiem en populair remote beheer platform is, wordt misbruik niet altijd direct gedetecteerd. Een ernstige kwetsbaarheid in oudere ScreenConnect-versies heeft dit risico vergroot. Hoewel er op 24 april 2025 een patch is uitgebracht, maken criminelen nog steeds misbruik van niet-gepatchte systemen om ransomware te installeren, data te stelen en zich verder door netwerken te bewegen.
• Ransomware en datadiefstal met gestolen of gekochte credentials - Cybercriminelen kopen of stelen steeds vaker gebruikersnamen en wachtwoorden om daarmee bedrijfsnetwerken binnen te dringen. Eenmaal binnen, installeren ze ransomware of stelen ze gevoelige data. Omdat de aanvallers legitieme inloggegevens gebruiken, lijken hun acties op normaal gebruikersgedrag. Barracuda’s SOC-analisten herkennen dergelijke aanvallen aan de hand van subtiele signalen zoals afwijkend gebruik van beheertools, herhaalde of gelijktijdige inlogpogingen en het onverwacht aanmaken van remote services.
• Stijging in Microsoft 365-inlogpogingen vanuit vreemde landen - Het SOC-team ziet een duidelijke stijging in het aantal inlogpogingen op Microsoft 365-accounts vanuit landen waar organisaties zelf niet actief zijn. Dit duidt erop dat criminelen proberen in te breken met gestolen inloggegevens. Indien ze zij toegang krijgen, kunnen ze e-mails en bestanden inzien, zich voordoen als legitieme medewerkers en interne phishingcampagnes starten om zich verder door het netwerk te verplaatsen 

Organisaties lopen risico als ze:

• Software en systemen niet tijdig updaten of patches overslaan
• Geen sterk wachtwoordbeleid of consequente MFA-implementatie hebben
• Geen detectiemogelijkheden hebben voor afwijkende logins of misbruik van beheertools
• Medewerkers onvoldoende trainen in cybersecurity awareness

Meer informatie is te vinden op: https://blog.barracuda.com/2025/12/02/soc-threat-radar-december-2025