Explosieve stijging van aantal e-mailbombs
Het aantal verstuurde e-mailbombs is de afgelopen maanden enorm toegenomen, blijkt uit cijfers van Darktrace. Waar het beveiligingsbedrijf in oktober 2024 nog 247.000 verstuurde e-mails bombs waarnam, waren dat er tussen 16 januari en 13 februari meer dan 3.000.000. Dit komt neer op een toename van meer dan 1100% in bijna vier maanden. Darktrace wijst daarop een groei van zo’n 100 individuele e-mailbombs per maand binnen zijn klantenbestand.
Bij e-mailbombing, ook wel bekend als een 'spam bomb', is een cyberaanval waarbij in korte tijd een groot aantal e-mails verstuurd wordt naar doelwitten om activiteiten te verstoren en schadelijke e-mails te verbergen. Het is vergelijkbaar met het gebruik van Domain Generation Algorithms (DGA) in Command-and-Control-communicatie (C2) waarbij de aanvaller nieuwe en schijnbaar willekeurige domeinen genereert om zijn kwaadaardige verbindingen te maskeren en detectie te ontwijken. Cybercriminelen melden e-mailadressen van doelwitten aan bij meerdere e-maildiensten om hun inboxen te overspoelen met content. e-mailbombs vormen een serieuze dreiging voor individuen en organisaties. Hoewel de individuele e-mails doorgaan onschadelijk zijn, kan de enorme hoeveelheid e-mails in een korte periode kwaadaardige activiteiten verbergen, wat de weg vrijmaakt voor verdere social engineering-aanvallen.
Een netwerk infiltreren met e-mailbombs
Darktrace ontdekte dat aanvallers de inbox van slachtoffers overspoelden met e-mail, vaak meer dan 150 stuks. Vervolgens gebruikten ze social engineering-strategieën om slachtoffers van de e-mailbomb te verleiden deel te nemen aan een Teams-oproep of een gesproken phishing-e-mailoproep (vishing). Aanvallers doen zich dan vaak voor als de IT-afdeling van de organisatie om zogenaamd het probleem te helpen oplossen. Maar in werkelijkheid doen ze dit dus om toegang te krijgen tot het apparaat en uiteindelijk tot het bedrijfsnetwerk. Deze tactiek wordt in veel schadelijke e-mails en Teams-berichten gebruikt, omdat het voor de aanvaller een snelle manier is om een gevoel van urgentie en vertrouwen bij de ontvanger te creëren.
Het doel van veel van deze e-mailbombs is om het netwerk van een organisatie te infiltreren. Dit proberen ze onder andere te doen met tools zoals Microsoft Quick Access. Hoewel zulke beheertools op afstand doorgaans worden gebruikt voor legitieme administratieve doeleinden, kunnen ze dus ook worden misbruikt door aanvallers om lateraal tussen systemen te bewegen of om toegang tot systemen te behouden. Vooral in gevallen waarbij deze tools al eerder in het netwerk zijn waargenomen, proberen aanvallers ze te gebruiken om detectie te ontwijken. Deze techniek staat bekend als Living-off-the-Land (LOTL).
Wat kunnen organisaties hiertegen doen?
e-mailbombs vormen een ernstige bedreiging voor individuen en organisaties omdat ze inboxen overspoelen met goedaardige e-mails in een poging potentieel kwaadaardige activiteiten, zoals accountovernames of diefstal van inloggegevens, te verbergen. De meeste traditionele gateways nemen beslissingen per e-mailbericht, waardoor ze moeite hebben om het volume van deze aanvallen bij te benen en ze vaak geen onderscheid kunnen maken tussen legitiem en kwaadaardig verkeer. Dankzij de zelflerende AI en de mogelijkheden voor autonome respons zorgt Darktrace ervoor dat legitieme e-mails niet verloren gaan in de ruis.
Meer details over de waarnemingen van Darktrace zijn hier beschikbaar.
Meer over Darktrace
Over Wouter Hoeffnagel
