Zum ersten Mal in der Geschichte der Cybersicherheit sind jede Branche und jede Art von Endgerät weltweit von Angriffen betroffen, die auf einem einzigen Thema basieren. Cyberkriminelle nutzen die aktuelle Pandemie aus und greifen sogar medizinische Einrichtungen an, die versuchen, COVID-19 zu stoppen. [...]
Unit 42, das Malware-Analyseteam von Palo Alto Networks verfolgt eine Fülle von Cyberangriffen mit COVID-19-Themen, die in den letzten Monaten weltweit aufgetaucht sind. Seit Anfang dieses Jahres hat Unit 42 mehr als 40.000 neu registrierte Websites mit einem Coronavirus-bezogenen Namen identifiziert. Aufgrund der Betrugsmaschen und Malware, die auf ahnungslose Verbraucher abzielen, hat Unit 42 diese als risikoreiche Websites eingestuft.
Die globalen Auswirkungen der COVID-19-Pandemie haben auch zu einem Mangel an Vertrauen in die Regierung und die Medien als zuverlässige Informationsquellen geführt. Diese Konstellation hat letztlich einen perfekten Sturm für Cyberkriminelle geschaffen, um größeren Erfolg zu haben. Die Menschen sind ständig auf der Suche nach neuen Informationsquellen, und die Cyberkriminellen haben die Gelegenheit genutzt, dies auszunutzen.
Hyperaktive Cyberkriminelle
Warum ist das kritisch? Die Angreifer haben es auf verunsicherte Menschen abgesehen, die auf der Suche nach COVID-19-Updates sind und themenbezogene Produkte online kaufen. Hierzu haben sie ihre Taktiken durch gewinnorientierte Angriffe verfeinert. Die Analysten von Palo Alto Networks haben die folgenden cyberkriminellen Aktivitäten festgestellt:
- Betrugsseiten, die Artikel wie Gesichtsmasken und Handdesinfektionsmittel zu niedrigen Preisen anbieten.
- Gefälschte COVID-19-E-Books, die neue „Sicherheitstipps“ versprechen. In Wirklichkeit liefern die Website-Betreiber nach dem Kauf kein Produkt. Stattdessen haben sie es auf das Geld und alle persönlichen und finanziellen Informationen des Nutzers, die auf die Website hochgeladen wurden, abgesehen.
- Es gibt Hinweise, dass Cyberkriminelle auch ausfallsichere Websites erstellen, die derzeit ruhen und darauf warten, schnell wieder aktiviert zu werden, wenn eine andere betrügerische Website abgeschaltet wird.
- Cyberkriminelle nutzen Cloud Service Provider (wie Amazon, Google, Microsoft und Alibaba), um einige dieser schädliche Websites zu hosten. Wenn Bedrohungen aus der Cloud stammen, kann es einfacher sein, der Entdeckung zu entgehen, indem man die Ressourcen eines Cloud-Providers kompromittiert. Cloud-Provider setzen aber rigorose Screening- und Überwachungsprozesse ein. Auch wegen der höheren Kosten ist es bisher relativ selten vorgekommen, dass cyberkriminelle Akteure schädliche Domains in öffentlichen Clouds hosten.
Die IT-Sicherheitsanalysten von Palo Alto Networks haben auch viele Cyberangriffe auf staatliche Gesundheitsbehörden, lokale und regionale Regierungen sowie große Universitäten, die sich mit den kritischen Reaktionsbemühungen der COVID-19-Pandemie befassen, aufgedeckt und blockiert. Zu den betroffenen Regionen zählen die USA, Kanada, Deutschland, die Türkei, Korea und Japan.
Es ist zwar nicht überraschend, dass Cyberkriminelle diese Gelegenheit ergreifen, um die Pandemie zu ihrem persönlichen Vorteil auszunutzen. Es ist aber klar, dass sie in jedem Fall Erfolg haben werden und langfristig davon profitieren.
Blick nach vorn
Die COVID-19-Fälle steigen in einigen Ländern weiter an und Experten erwarten eine zweite Welle noch in diesem Jahr. Daher sind neue Themen, die Angreifer im Zusammenhang mit den Nachrichten über die Pandemie aufgreifen, zu erwarten. Ende Juni hat Unit 42 gefährliche E-Mails mit den Betreffzeilen „Lieferant für Gesichtsmaske/Stirnthermometer“ und „Medizinische Maske, Schutzbrille und Temperaturmessgerät verfügbar“ erfasst. Dieser sich entwickelnde Trend dürfte sich aufgrund der Nachrichtenlage fortsetzen.
Darüber hinaus geht Unit 42 davon aus, dass die USA wahrscheinlich stärker von Angreifern ins Visier genommen werden als Länder, in denen es praktisch kein COVID-19 mehr gibt, wie etwa Neuseeland.
Zu erwarten ist auch ein Anstieg der Cyberkriminalität, wenn die Wirtschaft in eine Rezession gerät. Da die Arbeitslosenzahlen auf der ganzen Welt dramatisch ansteigen, werden sich einige Menschen unweigerlich der Cyberkriminalität zuwenden, wie es typischerweise in Phasen wirtschaftlichen Abschwungs geschieht. Da ein größerer Teil der Arbeitskräfte jetzt von zu Hause arbeitet, ist eine Zunahme von Angreifern zu erwarten, die auf Heimrouter und andere IoT-Geräte (Internet of Things) abzielen, um Heimnetzwerke zu kompromittieren.
Heimrouter und IoT-Geräte im Visier
Diese Geräte werden bereits häufig ins Visier genommen, zumal 98 Prozent des gesamten Datenverkehrs mit IoT-Geräten unverschlüsselt sind. Persönliche und vertrauliche Daten im Netzwerk sind somit offengelegt. Angreifer haben die Möglichkeit, den unverschlüsselten Netzwerkverkehr abzuhören und persönliche oder vertrauliche Informationen zu sammeln. Ein sehr wahrscheinliches Szenario für Angreifer wäre, ihren Fokus auf Heim-Router zu verlagern, um Cryptomining durchzuführen oder DDoS-Angriffe zu starten, wie sie es in der Vergangenheit getan haben.
Immer mehr Menschen arbeiten von zu Hause aus und sind nicht mehr durch eine Enterprise-Security-Lösung und eine Unternehmensfirewall geschützt. Angreifer könnten versuchen, sensible Geschäftsdaten zu stehlen, auf die sie normalerweise nicht so leicht zugreifen können. Benutzer sollten sich vergewissern, dass ihr physischer Router nicht das mit dem Router mitgelieferte Standardpasswort (oft nur „Admin“) verwendet. Sie sollten ihn auch auf die neueste Firmware-Version aktualisieren. Zu oft erstellen Benutzer ein Passwort nur für ihr Wireless-Netzwerk und erkennen nicht, dass auch das physische Gerät ein eindeutiges Passwort haben muss.
Sicherheitshinweise für Verbraucher
- Seien Sie auf der Hut vor Websites, die „Zu schön, um wahr zu sein“-Angebote zu COVID-19-Essentials wie Gesichtsmasken und Handdesinfektionsmittel anbieten.
- Behandeln Sie alle E-Mails und Websites, die vorgeben, Informationen über COVID-19 anzubieten, als verdächtig.
- Achten Sie stets auf die drei Hauptindikatoren, die in der Abbildung dargestellt sind, um sicherzustellen, dass Sie nicht Opfer eines Phishing-Angriffs werden.
- Wenn Sie glauben, dass Ihre Kreditkarteninformationen infolge eines kürzlich erfolgten Online-Kaufs gestohlen wurden, sollten Sie sich an Ihre Bank wenden, um Ihre Karte sofort zu sperren oder die Zahlungsdaten zu ändern.
- Ziehen Sie in Betracht, Ihr Guthaben zu sperren, so dass keine neuen Konten unter Verwendung Ihrer persönlichen Daten eröffnet werden können.
- Stellen Sie sicher, dass Ihr Router zu Hause zusätzlich zu Ihrem WLAN-Passwort ein physisches Passwort hat. Wenn Sie nicht wissen, wie Sie dies tun können, besuchen Sie die Website Ihres Geräteherstellers, um dessen Schritt-für-Schritt-Anleitung zu finden.
Sicherheitshinweise für Unternehmen
- Führen Sie eine Best Practice-Bewertung durch, um zu ermitteln, wo Ihre Konfiguration geändert werden könnte, um Ihre Sicherheitslage zu verbessern.
- Nutzen Sie PAN-DB URL-Filtering, um „Neu registrierte Domains“ zu blockieren, die Domains enthalten, die in den letzten 32 Tagen registriert wurden.
- Wenn Sie den Zugriff auf die Kategorie „Neu registrierte Domains“ nicht blockieren können, ist es empfehlenswert, die SSL-Entschlüsselung für diese URLs durchzusetzen. Dies dient dazu, um die Sichtbarkeit zu erhöhen und Benutzer daran zu hindern, riskante Dateitypen wie PowerShells und ausführbare Dateien herunterzuladen.
- Sie können auch eine viel strengere Richtlinie zur Bedrohungsabwehr anwenden und die Protokollierung beim Zugriff auf neu registrierte Domains erhöhen. Zu empfehlen ist auch ein Schutz auf DNS-Ebene, da bekannt ist, dass über 80 Prozent der Malware DNS zur Einrichtung von C2-Kanälen (Command & Control) verwenden.
- E-Commerce-Plattformen und Online-Händler können Risiken mindern, indem sie alle ihre Systeme, Komponenten und Web-Plugins patchen, um eine Gefährdung zu vermeiden.
- Führen Sie regelmäßig Offline-Überprüfungen der Integrität von Webinhalten durch, um festzustellen, ob Ihre Seiten bearbeitet wurden und böswilliger JavaScript-Code von Angreifern eingefügt wurde.
- Stellen Sie sicher, dass Sie starke Passwörter für die Administratoren Ihres Content-Management-Systems (CMS) verwenden, um es weniger anfällig für Brute-Force-Angriffe zu machen.
Be the first to comment