Uit de nieuwe Barracuda SOC Threat Radar blijkt dat zwakke toegangscontrols en openstaande netwerkdiensten massaal worden misbruikt voor cyberaanvallen. Deze en andere incidenten die onlangs zijn geneutraliseerd door Barracuda Managed XDR laten zien hoe aanvallers geautomatiseerd zoeken naar kwetsbaarheden om initiële toegang te verkrijgen.
- LemonDuck-malware kaapt endpoints voor cryptomining: LemonDuck verspreidt zich door netwerken om cryptovaluta te minen en installeert aanvullende payloads. De malware maakt misbruik van ongepatchte devices, zwakke logingegevens en openstaande poorten. Onderzoekers zagen dat LemonDuck PowerShell-scripts onzichtbaar uitvoerde, verbinding maakte met C2-servers en geplande taken aanmaakte voor langdurige persistentie. Advies: zorg ervoor dat systemen die aan het internet hangen up-to-date blijven, beperk het gebruik van PowerShell en dwing multi-factor authenticatie (MFA) af. Gebruik geavanceerde endpoint detectie zoals Barracuda Managed XDR om afwijkend gedrag vroegtijdig te blokkeren
- GoldBrute-botnet voert brute-force aanvallen uit op RDP: het SOC-team van Barracuda heeft een actieve GoldBrute-infectie gedetecteerd. Deze op Java gebaseerde malware voert brute-force aanvallen uit op openstaande RDP-diensten. Succesvol gekaapte devices worden vervolgens direct ingezet om het botnet verder uit te breiden en nieuwe slachtoffers te zoeken. Operators achter GoldBrute werden recentelijk gelinkt aan ransomware-activiteiten. Advies: stel RDP nooit rechtstreeks bloot aan het internet, maar gebruik een secure VPN of Zero Trust Network Access (ZTNA). Blokkeer accounts tijdelijk na meerdere mislukte inlogpogingen en monitor op afwijkende inlogpatronen.
- Stijging van 55% in password spraying-aanvallen vanuit Iran op VPN’s: in mei nam Barracuda een stijging van 55% waar in het aantal password spraying-pogingen afkomstig vanuit Iran, specifiek gericht op Fortigate VPN-omgevingen. Aanvallers testten systematisch veelvoorkomende wachtwoorden op een groot aantal accounts om toegang te krijgen tot de VPN-infrastructuur. Hoewel deze pogingen werden afgeslagen, toont dit de aanhoudende focus op remote access-infrastructuur als doelwit voor aanvallen. Advies: maak MFA verplicht voor alle externe toegang door gebruikers. Handhaaf een strikt wachtwoordbeleid, verminder de zichtbaarheid van VPN-portals en pas geo/IP-filtering toe voor landen met een verhoogd risico.
Belangrijkste bevindingen van het SOC:
Aanvallers hebben vaak geen complexe zero-day exploits nodig; openstaande deuren zoals onbeveiligde RDP-verbindingen, kwetsbare netwerkapparatuur en zwakke wachtwoorden zijn voldoende. Proactieve 24/7 monitoring op gedragsniveau is cruciaal om deze geautomatiseerde dreigingen te detecteren en in te dammen voordat ze ransomware kunnen installeren.
Meer informatie is te vinden op https://blog.barracuda.com/2026/06/25/soc-threat-radar-june-2026.
