COVID-19 als Köder und Vorbild: Cyberkriminelle bauen Spamming- und Phishing-Infrastruktur auf

Die Erkrankung COVID-19 hat in den letzten zwei Monaten eine unübersehbare Spur im Domain-Namensraum hinterlassen. Die großen Zertifikatsinstanzen haben einen signifikanten Anstieg von SSL-Zertifikaten registriert - und zwar für Domänennamen, die „Corona“ oder „Covid“ enthalten. [...]

Domains wie z.B. corona-virus-map.net oder corona-map-data.com sind aktiv mit Malware-Downloads verlinkt und damit eindeutig Cyberkriminellen zuzuweisen. (c) stock.adobe.com

Um einen Eindruck davon zu bekommen, wie groß diese Veränderung ist, haben die SophosLabs die Logdaten der vergangenen sechs Monate unter die Lupe genommen. Im Visier: neue Zertifikate, die für Hostnamen mit „Corona“ oder „Covid-19“ erteilt wurden. Für eine Referenz-Ausgangslage bevor der Ausbruch Einzug in die globalen Nachrichten nahm, schauten sich die Analysten den gleichen Zeitrahmen des Jahres davor – September 2018 bis März 2019 – an.

Bis Januar 288 zumeist harmlose Domains mit Bezug zu Corona oder Covid

Vor Januar bezogen sich die meisten Zertifikate, die „Corona“ enthielten, auf eine Örtlichkeit, eine Dienstleistung oder einen legitimen Markennamen. Das sind im Durchschnitt 288 aktivierte Zertifikate pro Monat. Referenzen zu „Covid“ konnte SophosLabs in keinem einzigen Zertifikat bis Anfang 2020 ausmachen. Einen Sonderfall gibt es, aber der ist völlig harmlos: die Domain covid.com des in Arizona beheimateten Shops für Kabel und Adapter namens COVID.

Im Frühjahr signifikanter Anstieg der Corona-/ Covid-Zertifikate

Die Pandemie veränderte alles. Mit Beginn Januar 2020 war ein exponentieller Anstieg an neuen Zertifikaten mit diesen Begrifflichkeiten auf 588 zu verzeichnen, der Referenznormwert wurde dabei nahezu verdoppelt. Im Februar gab es bereits 868 Zertifikate und in den beiden ersten Märzwochen explodierten die Anmeldungen auf 6.086 neue Zertifikate. Über 65 Prozent dieser neuen Domains wurden kostenfrei via Let’s Encrypt registriert, eine Vorgehensweise, die nahe legt, dass ein Großteil dieser Zertifikate zu zweifelhaften Zwecken genutzt werden könnte.

Domains mit konkretem COVID-19-Bezug: 42.578 neuregistriert in Februar und März

Die Zahl der durch die SophosLabs beobachteten neu registrierten Domains mit Bezug auf die COVID-19-Pandemie ist sogar noch größer. Am bisherigen Peak-Day, dem 20. März, wurden 3.011 neue Domains registriert, die „Corona“ oder „Covid“ enthalten, und zwar in den großen Top-Level-Domains .com, .us, .org und .info. Zwischen dem 8. Februar und dem 24. März sind es insgesamt 42.578 neu registrierte Domainnamen, die „Covid“ oder „Corona“ aufweisen.

Während einige dieser Domains möglicherweise für harmlose oder sogar gemeinnützige Zwecke registriert wurden, werden viele zunächst einfach „geparkt“, während andere als Platzhalter für zukünftige Inhalte fungieren und meist noch leere Webseiten anzeigen.

SophosLabs hat bislang über 60 zweifelsfrei schadhafte Domains entdeckt, einige davon sind mittlerweile schon wieder untergetaucht. „Die verbleibenden Domains, wie z.B.corona-virus-map.net oder corona-map-data.com sind aktiv mit Malware-Downloads verlinkt und damit eindeutig Cyberkriminellen zuzuweisen“, so Michael Veit, IT-Security-Experte bei Sophos. „Zudem ist diese Liste sicherlich nur die Spitze des Eisberges. Der Informationsbedarf rund um die Pandemie wird von den Hackern schamlos ausgenutzt, wie bereits unsere Untersuchung zu verschiedenen Phishing-Attacken gezeigt hat.“


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*