Barracuda: aanvallers misbruiken ScreenConnect voor remote access

In dit artikel:

Barracuda’s Security Operations Center signaleert eind 2025 meerdere verontrustende ontwikkelingen: cybercriminelen benutten kwetsbare, verouderde versies van het remote‑beheerplatform ScreenConnect om ongeautoriseerde toegang te verkrijgen, en zetten gestolen of gekocht inloggegevens in voor ransomware- en datadiefstallen. Hoewel er op 24 april 2025 een patch voor ScreenConnect werd uitgebracht, blijven aanvallers niet‑gepatchte systemen misbruiken om hosts over te nemen, laterale bewegingen te maken en gegevens te exfiltreren. Doordat ScreenConnect een legitiem en veelgebruikt beheerplatform is, valt dergelijk misbruik vaak pas op wanneer schade al is aangericht.

Daarnaast noteert het SOC een duidelijke stijging van inlogpogingen op Microsoft 365-accounts vanuit landen waarin de getroffen organisaties niet actief zijn. Dit wijst op het grootschalig inzetten van gelekte credentials; als toegang wordt verkregen, kunnen aanvallers e-mails en bestanden lezen, zich als medewerkers voordoen en gerichte phishingacties binnen de organisatie uitvoeren.

Barracuda benadrukt dat risico’s toenemen bij organisaties die patches uitstellen, geen streng wachtwoord- en multifactorbeleid hebben, onvoldoende detectie van afwijkende logins of misbruik van beheertools implementeren, en medewerkers niet voldoende trainen. Aanbevolen tegenmaatregelen zijn tijdige updates, consistente MFA, anomaliedetectie en monitoring van beheertools, netwerksegmentatie en gerichte awareness‑trainingen. Voor meer technische details verwijst Barracuda naar hun SOC Threat Radar-rapport (december 2025).