blog

Oh boy, Wormable BEC is gearriveerd… - Attic Security

Geschreven door Erik Remmelzwaal | Sep 19, 2025 10:00:00 PM

Afgelopen week deed ik incident response op een case die me deed denken aan de vroege dagen van internetbeveiliging. Voor de security-veteranen: denk aan SQL Slammer, Blaster en Sasser – de tijd dat wormen in enkele minuten het internet over vlogen.

Alleen in deze case ging het niet om een traditioneel virus, maar een Business Email Compromise (BEC)-scenario met worm-achtige eigenschappen.

Hoe zag de aanval eruit?

Het mechanisme was eigenlijk heel eenvoudig én effectief:

  1. Een gebruiker trapt in een Adversary-in-the-Middle (AiTM) phishing site.
  2. De aanvaller plaatst een OneNote-bestand in de OneDrive van het slachtoffer, met een link naar diezelfde AiTM-site.
  3. Dat bestand wordt via OneDrive gedeeld met het hele adresboek.
  4. De volgende ontvanger klikt – en de cyclus begint opnieuw.

Kortom: een BEC die zichzelf automatisch verspreidt.

Stukje nostalgie: wormen van vroeger

Om dit goed te begrijpen, is een blik in de geschiedenis nuttig. In de vroege jaren 2000 waren internetwormen hét gesprek van de dag. Ze werden vaak gemaakt als proof-of-concept of pure “skill show”, zonder direct financieel motief. De makers wilden laten zien dat ze het konden, soms zonder volledig te overzien wat de impact zou zijn.

Neem SQL Slammer (Sapphire, 2003):

  • Een piepklein stukje code van 376 bytes, dat een buffer overflow in Microsoft SQL Server uitbuitte.
  • Binnen de eerste minuut verdubbelde het aantal geïnfecteerde systemen elke 8,5 seconden.
  • Binnen 10 minuten waren meer dan 75.000 servers wereldwijd besmet.
  • Er was géén destructieve payload – de chaos ontstond puur door overbelasting van netwerken en routers.

Andere namen die velen zullen herinneren: Blaster en Sasser. Zij legden wereldwijd systemen plat, vaak zonder dat ze meer deden dan zich razendsnel verspreiden. Het was de tijd dat we de snelheid van verspreiding op zichzelf als grootste gevaar zagen. De goede oude tijd.

Wat dit zegt over BEC vandaag

De parallel is fascinerend. Waar wormen vroeger het netwerk gebruikten als hefboom, gebruiken moderne aanvallen menselijk vertrouwen en cloud-ecosystemen als OneDrive en Outlook.

  • De schaalbaarheid is vergelijkbaar: één klik kan in korte tijd tientallen nieuwe slachtoffers opleveren.
  • De urgentie is groter dan ooit: wachten tot morgen met reageren is geen optie meer.
  • Het verschil zit in de subtiliteit: geen knipperende schermen of massaal netwerkverkeer, maar een stille kettingreactie via mensen en hun digitale relaties.

Wat kun je hiertegen doen?

  • Detectie van AiTM is cruciaal – standaard MFA houdt dit niet tegen. Onze Attic FREE dienst is binnen 5 minuten geinstalleerd.
  • Monitoring op verdachte bestanden en delingsacties in Microsoft 365 is onmisbaar.
  • Automatisering van respons is de sleutel. Als een dreiging wormable is, moet jouw verdediging sneller zijn dan handwerk kan bijbenen.

Attic Free

AitM Interventie

Gratis

Oneindig gebruikers

  • Markeer nep inlogpagina
  • Alarm bij bezoek AitM
  • Binnen 5 minuten actief
Kies attic free

Waarom dit ertoe doet

Voor mij bevestigt dit incident waarom wij bij Attic Security onze missie zo scherp stellen: automated security operations voor Microsoft 365. Als dreigingen zichzelf in zo’n tempo kunnen verspreiden, moet je verdediging minimaal net zo snel zijn.
Volledig bericht weergeven