Cyberkriminelle nutzen die Corona-Krise aus, um Malware zu verbreiten, Betriebsabläufe zu stören, Zweifel zu säen und schnelles Geld zu verdienen. [...]
Während Unternehmen zahlreiche Maßnahmen ergreifen können, um sicherzustellen, dass ihre Mitarbeiter für sicheres Arbeiten von zuhause aus gerüstet sind, machen sich Bedrohungsakteure aller Art die COVID19/Coronavirus-Situation bereits zunutze. Angreifer, die nie eine Gelegenheit verstreichen lassen, starten ihre Operationen zur Verbreitung von Malware über E-Mails, Anwendungen, Websites und soziale Medien mit dem Covid19-Thema. Hier ist eine Übersicht über potenzielle Gefahrenquellen und Techniken, mit denen die Angreifer Unternehmen gezielt attackieren.
Wie Angreifer die COVID-19-Krise ausnutzen
1. Phishing-E-Mails
E-Mail ist und bleibt der größte Bedrohungsvektor für Personen und Unternehmen. Cyberkriminelle nutzen seit langem das Weltgeschehen in Phishing-Kampagnen, um ihre Trefferquote zu erhöhen, und Coronaviren bilden da keine Ausnahme.
Digital Shadows berichtet, dass Dark-Web-Märkte mit COVID19-Phishing-Kits werben und dabei einen schädlichen E-Mail-Anhang verwenden. Dieser ist als Verbreitungskarte des Virusausbruchs getarnt und wird zu einem Preis von 200 bis 700 Dollar angeboten.
Die Themen in diesen E-Mails reichen von branchenspezifischen Analystenberichten und Einzelheiten zu offiziellen Gesundheitsempfehlungen der Regierung bis hin zu Verkäufern, die in diesen Zeiten Gesichtsmasken oder andere Informationen zu Betrieb und Logistik anbieten. Die in diesen E-Mails aufgeführten Inhalte reichen von Lösegeldern und Keyloggern bis hin zu Trojanern für den Fernzugriff und Informationsdiebstahl.
„Unser Forschungsteam für Sicherheitsbedrohungen hat zahlreiche COVID-19-Kampagnen mit böswilligen E-Mails beobachtet, wobei viele von ihnen die Angst der Menschen nutzen, um potenzielle Opfer zum Klicken zu bewegen“, erklärt Sherrod DeGrippo, Senior Director of Threat Research and Detection bei Proofpoint. „Kriminelle versenden diese E-Mails in Wellen von einem Dutzend bis zu über 200.000 gleichzeitig, und die Zahl der Kampagnen steigt stetig an. Anfänglich sahen wir weltweit etwa eine Kampagne pro Tag, jetzt beobachten wir drei oder vier pro Tag“.
DeGrippo zufolge hat das Proofpoint-Team rund 70% der E-Mails entlarvt, die Malware enthalten, während die meisten anderen darauf abzielen, die Zugangsdaten der Opfer über gefälschte Landing Pages wie Gmail oder Office 365 zu stehlen. Proofpoint gibt an, dass das kumulative Volumen der Coronavirus-bezogenen E-Mail-Köder nun die größte Sammlung von Angriffstypen darstellt, die das Unternehmen je gesehen hat.
Unter anderem haben der NCSC und die Weltgesundheitsorganisation (WHO) öffentliche Warnungen vor betrügerischen E-Mails herausgegeben, die vorgeben, von offizieller Seite zu stammen. Es sind außerdem verschiedene Phishing-E-Mails im Umlauf, die vorgeben, von den Centers for Disease Control and Prevention (CDC) zu stammen.
2. Schadhafte Apps
Obwohl Apple in seinem App Store Beschränkungen für COVID19-bezogene Anwendungen festgelegt hat und Google einige Anwendungen aus dem Play Store entfernt hat, können bösartige Apps weiterhin eine Bedrohung für die Nutzer darstellen. DomainTools deckte eine Website auf, die Nutzer zum Herunterladen einer Android-Anwendung drängte, die Tracking und statistische Informationen über COVID-19, einschließlich visueller Heatmap, anbietet. Die Anwendung ist jedoch in Wahrheit mit einer auf Android abzielenden Lösegeldforderung ausgestattet, die jetzt als COVIDLock bekannt ist. Die Lösegeldforderung verlangt 100 Dollar in Bitcoin innerhalb von 48 Stunden und droht, Ihre Kontakte, Bilder und Videos sowie den Speicher Ihres Telefons zu löschen. Berichten zufolge wurde ein Unlock-Token entdeckt.
DomainTools berichtete, dass die mit COVIDLock verknüpften Domains zuvor zur Verbreitung von pornografischer Malware verwendet wurden. „Die langjährige Geschichte dieser Kampagne, die jetzt inaktiv zu sein scheint, lässt vermuten, dass dieser COVID-19-Scam ein neues Unterfangen und Experiment für den Akteur hinter dieser Malware ist“, so Tarik Saleh, leitender Sicherheitsingenieur und Malware-Forscher bei DomainTools, in einem Blogbeitrag.
Proofpoint entdeckte auch eine Kampagne, bei der die Benutzer aufgefordert wurden, ihre Rechenleistung a la SETI@Home zu spenden, die der COVID-19-Forschung gewidmet sei, nur um mittels BitBucket gelieferte, informationsraubende Malware zu verbreiten.
3. Gefährliche Domains
Neue Websites werden schnell eingerichtet, um Informationen über die Pandemie zu verbreiten. Viele von ihnen werden jedoch zu Fallen für ahnungslose Opfer werden. Recorded Future berichtet, dass in den letzten Wochen täglich Hunderte von COVID-19-bezogenen Domains registriert wurden. Checkpoint deutet darauf hin, dass COVID-19-bezogene Domänen mit 50% höherer Wahrscheinlichkeit schädlich sind als andere Domänen, die im gleichen Zeitraum registriert wurden.
Das NCSC hat berichtet, dass gefälschte Websites sich als die US Centers for Disease Control (CDC) ausgeben und Domänennamen ähnlich der Webadresse der CDC erstellen, um „Passwörter und Bitcoin-Spenden zur Finanzierung eines gefälschten Impfstoffs“ zu beantragen.
Reason Security und Malwarebytes berichteten beide über eine COVID-19-Infektions-Heatmap-Site, die außerdem zur Verbreitung von Malware genutzt wird. Die Website ist mit AZORult-Malware ausgestattet, die Anmeldeinformationen, Kreditkartennummern, Cookies und andere sensible, browserbasierte Daten stiehlt und auf einen Befehls- und Kontroll-Server exfiltriert. Sie sucht auch nach Kryptogeld-Brieftaschen, kann nicht autorisierte Screenshots machen und Geräteinformationen von infizierten Rechnern erfassen.
4. Gefährdete Endpunkte und Endbenutzer
Wenn eine große Anzahl von Mitarbeitern oder sogar das gesamte Unternehmen über einen längeren Zeitraum von zuhause arbeitet, steigen die Risiken in der Nähe der Endpunkte und der Personen, die sie benutzen. Geräte, die die Mitarbeiter zu Hause benutzen, könnten anfälliger werden, wenn die Mitarbeiter ihre Systeme nicht regelmäßig aktualisieren.
Die Arbeit von zu Hause aus über längere Zeiträume hinweg kann auch dazu führen, dass Benutzer Schatten-Anwendungen auf Geräte herunterladen oder Richtlinien missachten, die sie normalerweise im Büro befolgen würden. Weniger Geschäftsreisen könnten die Wahrscheinlichkeit verringern, dass Ihre Mitarbeiter Sicherheitsprobleme an den Grenzen haben, aber sie verringern auch die Gefahr, sich mit unsicheren WiFi-Netzwerken zu verbinden oder Geräte zu verlieren, wenn sie tatsächlich zu Hause bleiben. Diejenigen, die von Cafés aus arbeiten gehen – und einige werden dies wahrscheinlich tun – sind möglicherweise immer noch anfällig für Diebstahl, den Verlust von Geräten oder Man-in-the-Middle-Angriffe.
Die International Association of Information Technology Asset Managers empfiehlt, dass alle mit nach Hause genommenen IT-Ressourcen abgemeldet und überwacht werden, dass die Unternehmen Richtlinien und Ratschläge zur Nutzung der Ressourcen zu Hause bereitstellen (insbesondere wenn die Menschen daran gewöhnt sind, Geräte mit der Familie zu teilen), die Benutzer an die Richtlinien für die Verbindung mit dem öffentlichen WiFi erinnern und sicherstellen, dass sie ihre Software bei Bedarf weiterhin aktualisieren.
5. Sicherheitslücken bei Anbietern und Dritten
Jeder Partner, Kunde und Dienstleister in Ihrem Ökosystem wird wahrscheinlich die gleichen Probleme durchlaufen wie Ihr Unternehmen. Setzen Sie sich mit kritischen Teilen Ihres Ökosystems von Drittanbietern in Verbindung, um sicherzustellen, dass sie Maßnahmen zur Sicherung ihrer Mitarbeiter im Homeoffice ergreifen.
6. Ausrichtung auf Unternehmen im Gesundheitswesen
In den letzten Tagen wurde die Website des öffentlichen Gesundheitswesens von Illinois von Ransomware heimgesucht, während das Gesundheitsministerium (HHS) einen DDoS-Angriffsversuch erlitt. Gesundheitseinrichtungen aller Art und Größe stehen wahrscheinlich unter größerem Stress als üblich, was die Mitarbeiter bei dem, was sie anklicken, möglicherweise mit der Zeit nachlässiger werden lässt.
Opportunistische Kriminelle oder solche, die den Betrieb stören wollen, könnten den Sektor eher ins Visier nehmen. CISOs im Gesundheitssektor oder bei der Belieferung des Gesundheitswesens sollten ihre Mitarbeiter daran erinnern, auf verdächtige Links und Dokumente zu achten und sicherzustellen, dass ihre Arbeitsabläufe gegen DDoS-Angriffe gerüstet sind.
Sicherheitsprioritäten für die Arbeit im Homeoffice
Liviu Arsene, globaler Cybersicherheitsforscher bei Bitdefender, empfiehlt Unternehmen die folgenden Schritte, um ein sicheres und stabiles Arbeiten von zuhause aus zu gewährleisten:
- Erhöhen Sie die Anzahl der gleichzeitigen VPN-Verbindungen, um allen Mitarbeitern an entfernten Standorten gerecht zu werden.
- Richten Sie eine Konferenzsoftware ein, die sowohl eine stabile Sprach- als auch Videoverbindung gewährleistet, und übernehmen Sie diese.
- Stellen Sie sicher, dass alle Mitarbeiter über gültige Anmeldedaten verfügen, die nicht innerhalb von weniger als 30 Tagen ablaufen, da die Änderung abgelaufener Active Directory-Anmeldedaten bei Remote-Zugriffen schwierig sein kann.
- Versenden Sie Regeln und Richtlinien bezüglich akzeptierter Anwendungen und Kooperationsplattformen, damit die Mitarbeiter wissen, was sanktioniert und unterstützt wird und was nicht.
- Führen Sie schrittweise Rollout-Verfahren für die Bereitstellung von Updates durch, da die gleichzeitige Bereitstellung aller Updates an Mitarbeiter mit VPN-Verbindung zu Bandbreitenüberlastungen führen und den ein- und ausgehenden Datenverkehr beeinträchtigen könnte.
- Aktivieren Sie die Festplattenverschlüsselung für alle Endpunkte, um das Risiko von Datenverlusten auf kompromittierten Geräten zu verringern.
*Dan Swinhoe schreibt unter anderem für CSO.com.
Be the first to comment