Replychainaanvallen: zo werkt deze vorm van phishing

Cybercriminelen hadden het gemunt op meubelketen IKEA. De aanvallers bestookten IKEA-werknemers met phishingmails die een reactie zijn op legitieme zakelijke e-mails. Hoe werkt zo’n replychainaanval precies? En hoe kunnen organisaties zich hiertegen beschermen?

Wat was er aan de hand bij IKEA?

IKEA was het doelwit van een cyberaanval. De cybercriminelen versturen geniepige phishingmails naar werknemers van het Zweedse bedrijf, meldt BleepingComputer. Hierbij reageerden ze op e-mails die de medewerker zelf heeft verstuurd, bijvoorbeeld naar collega’s en zakelijke partners. Zo wekten de cybercriminelen minder argwaan dan wanneer een e-mail ‘uit het niets’ binnenkomt. Deze relatief nieuwe aanvalsmethode wordt een replychainaanval genoemd.

In een interne e-mail aan het personeel schrijft IKEA dat verschillende bedrijfsonderdelen, leveranciers en zakelijke partners gecompromitteerd zijn. “Dit betekent dat de e-mail kan komen van iemand met wie je samenwerkt of een externe organisatie. Hierdoor is de aanval moeilijk te detecteren. We vragen je dan ook om extra voorzichtig te zijn.” Verder heeft het bedrijf extra maatregelen genomen om dit soort aanvallen in de toekomst te voorkomen. Welke dat zijn, wil de meubelgigant niet loslaten omwille van de veiligheid.

Hoe werkt een reply-chain e-mail-aanval?

Bij dit type aanval maken de cybercriminelen vaak gebruik van bekende kwetsbaarheden in Microsoft Exchange-servers. Als ze eenmaal toegang tot een mailserver hebben, kunnen ze zakelijke e-mails onderscheppen en daarop antwoorden met phishingmails. Omdat deze e-mails worden verstuurd door interne servers en deel uitmaken van bestaande e-mailwisselingen, worden ze minder snel als schadelijk herkend.

Volgens BleepingComputer lijkt het erop dat IKEA ook op deze manier is aangevallen. De meubelketen heeft echter niet bevestigd dat er interne mailservers gekaapt zijn. Cybercriminelen kunnen ook replychainaanvallen opzetten na het hacken van een of meerdere e-mailaccounts, bijvoorbeeld met behulp van bruteforce-aanvallen of inloggegevens die bij een datalek zijn gelekt.

Wat is het doel van de phishingmails?

In het geval van IKEA bevatten de phishingmails een link naar een zip-bestand met daarin een schadelijk Excel-document. Het bestand verzoekt de gebruiker om inhoud in te schakelen en wijzigingen mogelijk te maken. Deze handelingen activeren schadelijke macro’s die drie DLL-bestanden downloaden waarvan de naam gewijzigd is naar een onschuldig .OCX-bestand. Dat leidt tot de installatie van malware.

Bij eerdere aanvalscampagnes werd met deze methode de malware Qbot geïnstalleerd, ook bekend als Qakbot. BleepingComputer ontdekte dat mogelijk ook de beruchte malware Emotet op deze wijze binnenkomt. Cybercriminelen gebruiken deze trojans om zich te verspreiden binnen het netwerk en uiteindelijk ransomware te installeren.

Whitepaper: 'Basisbeveiliging'

Zo beperkt u het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.

Download

Wat moet ik doen als mijn organisatie aangevallen wordt?

Allereerst is het belangrijk om het personeel snel en goed te informeren. Zo stuurde de IT-afdeling van IKEA een voorbeeld van de phishingmail rond. Ook lieten ze weten dat malafide links eindigden op zeven cijfers. Medewerkers werd met klem verzocht om verdachte e-mails niet te openen en direct IT in te seinen. Verder kregen zij de opdracht om de afzenders op de hoogte te stellen via Microsoft Teams.

Het zou kunnen dat werknemers een in quarantaine geplaatste e-mail terugzetten, omdat ze denken dat het e-mailfilter een foutje heeft gemaakt. Daarom schakelde IKEA de mogelijkheid om e-mails vrij te geven tot nader order uit. Ook dat is een cruciale maatregel om te voorkomen dat de aanvallers het netwerk binnendringen.

Een replychainaanval kan het begin zijn van een grote cyberaanval. Mocht uw organisatie zo’n phishingmail ontvangen, wees dan in de hoogste staat van paraatheid. Als het goed is, heeft u voor dit scenario een crisisplan ontwikkeld dat u nu kunt uitvoeren. Schakel indien nodig specialisten van buitenaf in. Zij kunnen vaststellen of de cybercriminelen al binnen zijn en zo ja, hoe de impact van de aanval beperkt kan worden.

Welke preventieve maatregelen kan ik treffen?

Een solide IT-beveiliging begint altijd bij een risicoanalyse. Wat zijn de grootste bedreigingen voor uw bedrijfsvoering? Vervolgens dekt u deze risico’s af met technische en organisatorische maatregelen. Zo zijn goed getrainde medewerkers beter in staat om phishingmails te herkennen. Netwerkmonitoring helpt u een aanval in een vroeg stadium te detecteren. En met goede back-ups beperkt u de impact van een ransomware-aanval.

Zorg daarnaast dat u voorbereid bent op het ergste. Wat is de taakverdeling tijdens een aanval? Hoe handelt u als essentiële bedrijfssystemen niet meer beschikbaar zijn? Hoe communiceert u met klanten en de pers? Vergeet ook niet om dit plan regelmatig te testen met de belangrijkste stakeholders, zoals de IT-afdeling en het hoger management. Anders komen eventuele problemen pas tijdens de aanval aan het licht.

Er is geen wondermiddel tegen geavanceerde cyberaanvallen, maar u kunt het de cybercriminelen wel zo moeilijk mogelijk maken.

Hét cybersecurityevent van Nederland is terug. Op 25, 26 én 27 januari 2022 brengt NLSecure[ID] organisaties en cybersecurityexperts samen. Schrijf u nu gratis in.

 

Gerelateerde artikelen