Skip to main content

Businesscase: Phishing incidenten

Bijna dagelijks lezen we verhalen in het nieuws over cyberdreigingen en -aanvallen. Vaak verschijnen alleen de berichten in de krant waarbij de cybercriminelen succesvol zijn geweest met hun hack. Gelukkig worden er ook veel incidenten voorkomen door snel en vakkundig ingrijpen van cybersecurityspecialisten. Zo hebben onze collega’s van de securitydienst van e-Quest recent nog een tweetal spoedcases opgelost. We nemen je graag mee in de wijze hoe deze aanval in elkaar zat en op welke manier deze aanval uiteindelijk afgewend kon worden.

Bij de servicedesk komen kort na elkaar twee meldingen binnen van hetzelfde karakter: twee bedrijven zijn verwikkeld geraakt in een phishingmail. Medewerkers van de bedrijven zijn verleid om via een link in de mail inloggegevens in te voeren  en gebruik te maken van een 2FA-token die vanuit het buitenland misbruikt wordt. De mail naar de bedrijven is verstuurd vanuit een bekende leverancier die zelf ook getroffen is door deze malicious actors.  Toevalligerwijs sloot de inhoud van het bericht ook precies aan bij hetgeen wat de bedrijven verwachtten te ontvangen van deze leverancier. De inhoud van de phishingmail lijkt dan ook erg goed voorbereid te zijn.

Nadat de tickets zijn aangemaakt wordt direct door de servicedesk de wachtwoorden bij de klant aangepast. Tegelijkertijd wordt het e-Quest cybersecurityteam ingeschakeld. De IT-verantwoordelijke van de klant wordt ingelicht over de huidige dreiging en de mogelijke oplossingen.

Na een eerste onderzoek blijkt er ingelogd te zijn op de server van de bedrijven vanuit Boedapest en Zuid-Afrika . Vanuit Zuid-Afrika zijn er ook bestanden geplaatst in de documenten van de getroffen accounts. Ondertussen wordt er voor gezorgd dat de back-ups veilig worden gesteld en offline worden gehaald zodat deze niet versleuteld kunnen worden door de hackers.

Het doel van deze aanval lijkt echter datamining te zijn. Bij deze actie probeert de aanvaller via de server van het slachtoffer alle mailcontacten aan te schrijven met een phishingmail . In deze mail is een We-Transfer link toegevoegd met een verwijzing naar een bedrijfspresentatie. Hierbij wordt het mailadres en de bedrijfsnaam gebruikt in bestanden om de mail zo echt mogelijk te laten lijken. Ook de We-Transferpagina is niet van echt te onderscheiden. Op het moment dat een gebruiker in een voldoende groot bedrijf met veel IT-rechten hapt, zal er daadwerkelijk ransomware worden geplaatst. Voor het securityteam is het dus een race tegen de klok.

In samenwerking met onze cybersecuritypartner, IP4Sure, wordt de huidige virusscanner geanalyseerd. Om ervoor te zorgen dat malicious software niet alleen wordt gedetecteerd, maar ook dat de server hiertegen beschermd wordt, wordt in overleg met de klant SentinelOne uitgerold. De aanschaf van zo’n softwarepakket is altijd een onaangename onvoorziene uitgave maar staan niet in vergelijking tot wat er gemiddeld betaald wordt aan losgeld nadat een bedrijf digitaal gegijzeld is: dat is vaak rond de 2% van de jaaromzet ¹.

De SentinelOne software greep na installatie op meerdere momenten in op basis van  malicious behavior. Al deze ingrepen moet door het securityteam nauwkeurig en per moment worden beoordeeld. Pas als alles veilig is dan worden de servers weer actief gemaakt.  Bij een laatste check wordt gekeken of alle geïnfecteerde bestanden opgeruimd zijn om daarna de computers en de back-ups weer op te starten. Eventueel kunnen geïnfecteerde accounts verwijderd worden of in permanente quarantaine geplaatst.

In een eindgesprek met de klant worden alle acties nog eens doorgenomen en worden de resultaten van de oplossingen besproken. Ook is er nu besproken om awarenesstrainingen te verzorgen waardoor bepaalde mails eerder als phishingmails beoordeeld kunnen worden. e-Quest biedt daarnaast de optie aan om mails vooraf door ons te laten checken. In een beveiligde omgeving wordt dan gekeken of de mail malicious codes heeft waardoor onze klant gevaar kan lopen.

Voor nu zijn de gevolgen beperkt gebleven door vakkundig optreden van e-Quest en IP4Sure. Echter blijkt wel weer dat de phishingmails steeds moeilijker van het echt te zijn onderscheiden en dat deze op slinkse manier ook vanuit een vertrouwd account verstuurd worden. De komst van AI heeft het vertalen van mails een stuk makkelijker gemaakt voor cybercriminelen die niet uit Nederland komen. We zien daarom dat steeds meer bedrijven besluiten om te investeren in IT- en cybersecurity. Benieuwd hoe e-Quest u hierbij kan helpen? Neem vrijblijvend contact met ons op!

¹https://www.ccinfo.nl/cybercrime/ransomware/679923_zo-n-80-van-de-organisaties-betaalt-losgeld