Tussen december 2024 en januari 2025 is het aantal phishing-campagnes via Russische .ru-domeinen met 98 procent gestegen. De aanvallen zijn gericht op het stelen van inloggegevens van (Europese) bedrijven.
Uit onderzoek van KnowBe4 Threat Lab blijkt dat cybercriminelen steeds vaker gebruik maken van zogenaamde “bullet-proof”-hostingproviders. Deze providers negeren bewust misbruikmeldingen en bieden een hoge mate van anonimiteit, waardoor ze ideaal zijn voor kwaadaardige activiteiten.
Omzeilen van bekende oplossingen
De onderzoekers identificeerden meer dan 1.500 unieke .ru-domeinen die worden gebruikt voor phishing-aanvallen. Deze domeinen hebben een gemiddelde levensduur van slechts 7,4 dagen. Opvallend is dat veel van de phishing-mails door bekende beveiligingsoplossingen komen, waaronder Exchange Online Protection, Barracuda Email Security Gateway, Mimecast en Cisco Ironport.
De aanvallers maken gebruik van QR-codes, automatische doorverwijzingen en meerlaagse bijlagen om slachtoffers naar phishing-websites te leiden. In een voorbeeld van Threat Lab deelden de aanvallers de kwaadaardige link in een bijlage. Beveiligingsoplossingen scannen vaak op handtekeningen, die wel legitiem ogen doordat de hackers zich voordoen als een medewerker van accounting. Hackers blijven dus innovatief en zoeken steeds nieuwe methodes om beveiligingssoftware te omzeilen.
Beschermingsmaatregelen
KnowBe4 adviseert organisaties om .ru-domeinen te blokkeren tenzij deze noodzakelijk zijn voor de bedrijfsvoering. Het implementeren van strikt DMARC/SPF/DKIM-beleid en verscherpte e-mailfiltering voor .ru-domeinen wordt ook aangeraden.