Cyberalarm: Nep-Interpol jaagt op het mkb
Boekhouders en mkb-ondernemers zijn gewaarschuwd: cybercriminelen proberen kleine bedrijven wereldwijd te infecteren met ransomware door zich voor te doen als rechercheurs van Interpol. Onderzoekers van Bitdefender Antispam Lab hebben een internationale phishingcampagne blootgelegd die doelgericht misbruik maakt van de angst voor politie-onderzoeken.
De psychologische valstrik: Angst en urgentie
Kleine ondernemers denken vaak onterecht dat hun bedrijf te klein is om een doelwit te vormen voor geavanceerde cyberaanvallen. Juist op die misvatting spelen de aanvallers in. De frauduleuze e-mails worden verstuurd met een dwingende, dringende toon en dragen de afzender van de cybercriminele opsporingsdienst van Interpol. In het bericht wordt geclaimd dat de organisatie onder de loep wordt genomen wegens verdachte of frauduleuze activiteiten.
Om de druk op te voeren, beweren de oplichters dat zij bewijsmateriaal en videobeelden in handen hebben. De ontvanger wordt gesmeekt dit 'bewijs' zo snel mogelijk te bekijken via een meegestuurde link naar Proton Drive. Hier staat een met een wachtwoord beveiligd archiefbestand klaar. Het wachtwoord wordt handig genoeg in de mail zelf vermeld.
Wie het bestand downloadt en uitpakt, denkt een videobestand te openen. In werkelijkheid is het een uitvoerbaar bestand (executable) waarin een ransomware-payload zit verstopt.
Belangrijk alarmsignaal: Officiële instanties zoals Interpol sturen nooit ongevraagd e-mails met Proton Drive-links naar met wachtwoord beveiligde bestanden om vermeend bewijsmateriaal te delen.
Geen bekende bende, wel maatwerk
Opvallend is dat de gebruikte ransomware relatief eenvoudig is van opzet. Volgens de cybersecurity-experts is de code vermoedelijk met de hand in elkaar gezet of opgebouwd uit publiek toegankelijke bronnen, in plaats van de software van een bekende, grote ransomware-as-a-service (RaaS)-bende.
De gijzelsoftware vertoont een aantal opmerkelijke kenmerken:Geen vast losgeld: In het digitale losgeldbericht dat na de versleuteling verschijnt, wordt geen specifiek geldbedrag geëist.
Onderhandeling via Tox: Slachtoffers worden gesommeerd om contact op te nemen via het anonieme chatkanaal Tox.
Maatwerk per slachtoffer: Dit stelt de aanvallers in staat om pas te gaan onderhandelen zodra er contact is. De uiteindelijke prijs hangt af van de omvang en de financiële draagkracht van het getroffen bedrijf.
De campagne kent geen sectorale grenzen; Bitdefender zag doelwitten in uiteenlopende sectoren zoals landbouw en voeding, juridische dienstverlening, farma, media, tech en finance. Ook geografisch is de aanval breed uitgerold over Europa, Azië, het Midden-Oosten en de Verenigde Staten.
Waarom juist het mkb kwetsbaar is
Grote multinationals hebben vaak volledige IT-afdelingen en security-teams die dit soort mails direct onderscheppen. Binnen het mkb ontbreken dergelijke middelen dikwijls. IT-taken worden er vaak 'bijgedaan' door medewerkers met een andere primaire functie. Wanneer er dan een angstaanjagende mail van een officiële instantie binnenkomt, ontbreekt het vaak aan een vast protocol om de echtheid van het bericht te verifiëren, waardoor er sneller wordt geklikt.
Wat te doen bij een incident?
Heeft u of een medewerker per ongeluk op de link geklikt en het bestand geopend? Volg direct deze stappen om de schade te beperken:
Koppel het apparaat los van het netwerk: Haal de internetkabel eruit of verbreek de wifi-verbinding om te voorkomen dat de ransomware zich verspreidt naar gedeelde netwerkschijven of servers.
Start een volledige veiligheidsscan: Gebruik een vertrouwde beveiligingsoplossing om het systeem te controleren.
Licht de IT-beheerder in: Wacht niet af en probeer het probleem niet stilzwijgend op te lossen. Hoe sneller specialisten op de hoogte zijn, hoe effectiever de isolatie.
Wijzig kritieke wachtwoorden: Doe dit vanaf een ander, schoon apparaat. Verander de inloggegevens van zakelijke e-mails, cloudopslag en bankaccounts.
Meld de aanval: Doe melding bij uw nationale cybersecurity-instantie en geef de phishingpoging aan bij de misbruikte organisatie.