Sterke toename van aantal e-mail bombs

Wat is email bombing?

Bij e-mail bombing, ook wel bekend als een 'spam bomb', is een cyberaanval waarbij in korte tijd een groot aantal e-mails verstuurd wordt naar doelwitten om activiteiten te verstoren en schadelijke e-mails te verbergen. Het is vergelijkbaar met het gebruik van Domain Generation Algorithms (DGA) in Command-and-Control-communicatie (C2) waarbij de aanvaller nieuwe en schijnbaar willekeurige domeinen genereert om zijn kwaadaardige verbindingen te maskeren en detectie te ontwijken. Cybercriminelen melden e-mailadressen van doelwitten aan bij meerdere e-maildiensten om hun inboxen te overspoelen met content. E-mail bombs vormen een serieuze dreiging voor individuen en organisaties. Hoewel de individuele e-mails doorgaan onschadelijk zijn, kan de enorme hoeveelheid e-mails in een korte periode kwaadaardige activiteiten verbergen, wat de weg vrijmaakt voor verdere social engineering-aanvallen.

Een netwerk infiltreren met e-mail bombs

Darktrace ontdekte dat aanvallers de inbox van slachtoffers overspoelden met e-mail, vaak meer dan 150 stuks. Vervolgens gebruikten ze social engineering-strategieën om slachtoffers van de e-mail bomb te verleiden deel te nemen aan een Teams-oproep of een gesproken phishing-e-mailoproep (vishing). Aanvallers doen zich dan vaak voor als de IT-afdeling van de organisatie om zogenaamd het probleem te helpen oplossen. Maar in werkelijkheid doen ze dit dus om toegang te krijgen tot het apparaat en uiteindelijk tot het bedrijfsnetwerk. Deze tactiek wordt in veel schadelijke e-mails en Teams-berichten gebruikt, omdat het voor de aanvaller een snelle manier is om een gevoel van urgentie en vertrouwen bij de ontvanger te creëren.

Het doel van veel van deze e-mail bombs is om het netwerk van een organisatie te infiltreren. Dit proberen ze onder andere te doen met tools zoals Microsoft Quick Access. Hoewel zulke beheertools op afstand doorgaans worden gebruikt voor legitieme administratieve doeleinden, kunnen ze dus ook worden misbruikt door aanvallers om lateraal tussen systemen te bewegen of om toegang tot systemen te behouden. Vooral in gevallen waarbij deze tools al eerder in het netwerk zijn waargenomen, proberen aanvallers ze te gebruiken om detectie te ontwijken. Deze techniek staat bekend als Living-off-the-Land (LOTL).

Wat kunnen organisaties hiertegen doen?

E-mail bombs vormen een ernstige bedreiging voor individuen en organisaties omdat ze inboxen overspoelen met goedaardige e-mails in een poging potentieel kwaadaardige activiteiten, zoals accountovernames of diefstal van inloggegevens, te verbergen. De meeste traditionele gateways nemen beslissingen per e-mailbericht, waardoor ze moeite hebben om het volume van deze aanvallen bij te benen en ze vaak geen onderscheid kunnen maken tussen legitiem en kwaadaardig verkeer. Dankzij de zelflerende AI en de mogelijkheden voor autonome respons zorgt Darktrace ervoor dat legitieme e-mails niet verloren gaan in de ruis.