Kriminelle nutzen Corona-Virus für großangelegte Cyberattacken

Anzeige

Illustration: Geralt Absmeier

Als ob der Schaden für die Allgemeinheit, für Unternehmen und für viele Menschen auch im privaten Umfeld nicht schon groß genug wäre: Kriminelle nutzen die aktuelle Unsicherheit rund um das Corona-Virus SARS-CoV-2 und die Pandemie COVID-19 für umfangreiche Cyberangriffe. Das berichten die Cybersicherheitsforscher des US-amerikanischen Cybersecurity-Unternehmens Proofpoint.

Es handelt sich um eine der größten, wenn nicht sogar die größte E-Mail-Kampagne, die jemals unter einem einzigen Thema durchgeführt wurde.

Unter anderem umfasst die Kampagne neue Angriffe der sehr aktiven Hacker-Gruppen TA505 und TA564 (Thread Actor). Diese setzen dabei auf ausgeklügelte Attacken auf das US-Gesundheitswesen, die Fertigungs- und Pharmaindustrie sowie auf das öffentliche Gesundheitswesen [1].

Zum Portfolio an Schadsoftware, die dabei zum Einsatz kommt, gehört aktuell nahezu alles, was sowohl privaten Anwendern als auch Unternehmen in irgendeiner Form schaden kann. Dazu zählt unter anderem:

  • Phishing nach Zugangsdaten
  • Dateianhänge mit Malware
  • Links als Verweis zu Webseiten, die mit Schadsoftware infiziert sind
  • Kompromittierung von Geschäfts-E-Mails (BEC, auch CEO-Betrug oder Chef-Masche genannt),
  • gefälschte Landing Pages
  • Downloader
  • Spam

 

Beispiele für beobachtete Angriffe sind:

  • Erstmals aufgetaucht ist eine bisher unbekannte Malware namens RedLine Stealer. Dabei appellieren die Kriminellen an die Bereitschaft der Menschen, durch ein verteiltes Computerprojekt zur Erforschung von Krankheiten ein Heilmittel für Covid-19 zu finden. RedLine Stealer ist in russischen Untergrundforen mit verschiedenen Preisoptionen ab 100 Dollar erhältlich und wurde kürzlich aktualisiert, um Krypto-Geld zu stehlen, das sich in Offline-Wallets (sogenannten Cold Wallets) befindet.
  • E-Mails, die an »Eltern und Erziehungsberechtigte« adressiert sind und die Malware Ursnif enthalten. Diese Schadsoftware stiehlt in der Folge Informationen wie Bankdaten. Die Angreifer nutzen dabei den echten Namen des Empfängers, um die vermeintliche Legitimität dieser E-Mail zu unterstreichen.
  • E-Mails, die sich an Organisationen aus dem Gesundheitswesen richten und Gegenmittel gegen das Corona-Virus im Austausch gegen Bitcoin anbieten.
  • Gefälschte Anleitungen zum Schutz von Familie und Freunden vor dem Virus, in denen Benutzer aufgefordert werden, auf einen präparierten Link zu klicken.

 

Sherrod DeGrippo, Senior Director of Threat Research and Detection bei Proofpoint, erläutert diese Enwicklung:

»Seit mehr als fünf Wochen hat unser Threat Research Team zahlreiche gefährliche E-Mail-Kampagnen mit Bezug zu COVID-19 beobachtet. Viele der Kampagnen setzen dabei auf den Faktor ›Angst‹, um potenzielle Opfer zum Klicken zu bewegen. Kriminelle haben dabei die E-Mails für ihre Kampagnen in Wellen versandt – diese reichten von einem Dutzend Empfänger bis zu mehr als 200.000 Adressaten auf einmal. Darüber hinaus verzeichnen wir immer noch steigende Kampagnenzahlen. Ursprünglich konnten wir weltweit etwa eine Kampagne pro Tag beobachten, jetzt stellen wir drei bis vier täglich fest. Dieser Anstieg unterstreicht, wie attraktiv globale Nachrichten für Cyberkriminelle sein können.

Die COVID-19-Köder, die wir beobachtet haben, sind Social Engineering in großem Maßstab. Die Kriminellen wissen, dass die Menschen nach Informationen suchen, die ihnen Sicherheit vermitteln. Daher sind die Menschen eher geneigt auf potenziell gefährliche Links zu klicken oder Anhänge herunterzuladen. Etwa 70 Prozent der von Proofpoint aufgedeckten E-Mails liefern Malware und weitere 30 Prozent zielen darauf ab, die Zugangsdaten des Opfers zu stehlen. Die meisten dieser E-Mails versuchen, Zugangsdaten zu stehlen, indem sie gefälschte Landing Pages nutzen, die Gmail oder Office 365 imitieren, und die Benutzer auffordern, ihren Benutzernamen und ihr Passwort einzugeben.«

 

[1] Weitere Details – inklusive Beispiele der Angriffsmails – zu diesen Attacken finden Sie in den aktuellen Blogposts von Proofpoint: TA505           RedLine Stealer

 


Neue Phishing-Angriffe beuten Coronavirus-Schlagwort aus

Illustration: Absmeier, Iximus

Vor dem Hintergrund der Coronavirus-Pandemie missbrauchen Cyberkriminelle das massive öffentliche Interesse nun auch für ihre Angriffe. Zu den häufigsten Taktiken zählt die E-Mail-Impersonation-Attacke: Hierbei geben sich Kriminelle als offizielle Stellen wie etwa die Weltgesundheitsorganisation (WHO) aus, um Benutzer dazu zu bringen, eine bösartige E-Mail zu öffnen. Diese Art Angriffe, bei denen Hacker auf Basis aktueller Ereignisse die Angst oder das Mitgefühl ihrer Opfer ausnutzen, ist leider nicht neu. Die meisten dieser Betrugsversuche sind darauf ausgelegt, das Benutzergerät zu infizieren und Malware zu verbreiten, Anmeldedaten zu stehlen oder Spenden für gefälschte Wohltätigkeitsorganisationen über bösartige Websites abzugreifen. Darüber hinaus missbrauchen Kriminelle die aktuelle Lage auch für den Verkauf gefälschter Versionen knapper medizinischer Ausrüstung oder angeblicher Heilmittel sowie für Betrugsversuche, die Investitionsmöglichkeiten in Unternehmen anpreisen, die behaupten, einen Impfstoff entwickelt haben.

 

Anstieg von Domain-Registrierungen mit dem Schlagwort »Coronavirus«

Die Registrierung neuer Domains, die das Wort »Coronavirus« verwenden, hat zudem einen regelrechten Boom erlebt. Viele davon werden voraussichtlich von Hackern missbraucht. Auf den ersten Blick scheinen diese Websites zwar Nachrichten oder Ratschläge zur Coronavirus-Pandemie zu beinhalten, werden aber für Phishing oder zur Verbreitung von Malware genutzt. Betrügerische E-Mail-Impersonation-Attacken enthalten oft Links zu dieser Art Websites.

Domain-Registrierungen mit dem Wort »Coronavirus«. Quelle: Verisign

 

E-Mail-Impersonation-Angriffe

In den vergangenen Wochen zeigte sich eine Reihe von Angriffen, bei der sich der Absender als WHO ausgab und die E-Mail angeblich Informationen über das neuartige Coronavirus bereitstellt. Cyberkriminelle verwenden hierfür oft Domain-Spoofing-Taktiken, um ihren Opfern die Legitimität des Absenders vorzutäuschen:

 

 

 

Home Office: Erhöhte Gefahr durch Phishing

Als Präventivmaßnahme gegen die Verbreitung des Coronavirus fordern viele Organisationen ihre Mitarbeiter auf, bis auf weiteres von zu Hause aus zu arbeiten. Diese Mitarbeiter verlassen sich in der Regel auf den E-Mailverkehr bei der Kommunikation mit Kollegen sowie hinsichtlich Updates ihres Arbeitgebers zur aktuellen Lage, etwa durch Nachrichten von der Personalabteilung oder des oberen Managements. Diese Erwartungshaltung schafft ein erhöhtes Sicherheitsrisiko für Unternehmen, da Benutzer eher versehentlich eine bösartige E-Mail öffnen, wenn sie eine ähnliche, legitime Nachricht erwarten.

 

Maßnahmen zum Schutz für Unternehmen und deren Mitarbeitern

Im Folgenden finden sich grundlegende Maßnahmen, wie sich Unternehmen und Mitarbeiter vor E-Mail-Betrug schützen können:

 

  • E-Mails von angeblich offiziellen Stellen: Vorsicht bei E-Mails, die vorgeben, von der WHO oder anderen offiziellen Stellen zu stammen. Nutzer sollten direkt auf deren Websites gehen, um die neuesten Informationen zu erhalten. Generell sollten sie keine Links in E-Mails von unbekannten Absendern anklicken, da diese zu bösartigen Websites führen können.
  • E-Mails von unternehmensinternen Stellen: Nutzer sollten zudem besonders wachsam bei E-Mails von internen Abteilungen oder Führungskräften sein, die innerhalb des Unternehmens über den Coronavirus-Ausbruch informieren würden. Domain- und Anzeigenamen-Spoofing sind einige der am häufigsten verwendeten Techniken von Cyberkriminellen.
  • Keine Informationen preisgeben: Nutzer sollten niemals persönliche Informationen oder Anmeldedaten auf eine E-Mail-Anfrage preisgeben. Auf diese Weise kann ein Phishing-Angriff zu einem BEC-Angriff führen.
  • IT-Abteilung mit einbeziehen: Alle bösartigen E-Mails und Angriffe sollten umgehend an die IT-Abteilungen zur Untersuchung und Behebung gemeldet werden.
  • Security-Technologien: Unternehmen sollten sicherstellen, dass sie über einen zuverlässigen Viren-, Malware- und Anti-Phishing-Schutz verfügen.
  • Mitarbeiterschulung: Darüber hinaus sollten alle Mitarbeiter eine aktuelle Schulung über die neuesten Phishing- und Social-Engineering-Angriffe erhalten.

 

Cyberkriminelle sind immer auf der Suche nach Wegen, um aktuelle Ereignisse für Angriffe zu missbrauchen. Um sich auf dem Laufenden über die neuesten Betrugsversuche zu halten, können Nutzer die Warnmeldungen der Cybersecurity and Infrastructure Security Agency (CISA) und ähnlichen Websites verfolgen.

 

Dr. Klaus Gheri, General Manager Network Security bei Barracuda Networks

 


377 Artikel zu „Hacker Angst“

WLAN-Netze in öffentlichen Verkehrsmitteln: Angst vor dem Hacker als Sitznachbar

Wer nicht gerne fliegt, musste zum Verreisen früher in die Bahn oder ins Auto steigen. In den letzten Jahren ist jedoch eine besonders kostengünstige Reisealternative hinzugekommen: der Fernlinienbus. Dabei ist ein Schmankerl für Fahrgäste das kostenlose WLAN, das inzwischen in nahezu jedem Fernbus zur Ausstattung gehört. In einer aktuellen Umfrage unter 2.000 Deutschen des VPN-Anbieters…

Corona: Mehr Angst um Unternehmenserfolg als um Gesundheit

Wie groß ist die Angst der Deutschen vor dem Coronavirus (SARS-CoV-2)? Wie beeinflusst die aktuelle Situation den Arbeitsalltag in deutschen Büros und Fabriken? Und welche Maßnahmen ergreifen Unternehmen bislang? Die Jobplattform StepStone hat am Dienstag (3.3) mehr als 4.000 Menschen befragt, um herauszufinden, wie sich das Virus bislang auf die Arbeitswelt auswirkt. Demnach macht sich…

Unternehmen zu zögerlich im Umgang mit professionellen Hackern

CISOs: Softwareprojekte aus Angst vor Sicherheitsproblemen nicht umgesetzt. Bei einer Umfrage [1] zur Zusammenarbeit zwischen Unternehmen und Hackern wurde deutlich, dass die Sicherheitsverantwortlichen (CISO, Chief Information Security Officer) im Unternehmen zwar einerseits beklagen, dass Softwareprojekte aus Angst vor Sicherheitslücken gar nicht erst umgesetzt werden. Andererseits nutzen diese CISOs jedoch noch zu selten die Möglichkeit, ihre…

Zu langsam, um Hackern das Handwerk zu legen

Unternehmen weltweit benötigen über sechs Tage, um Hacker aus ihren Systemen zu verbannen. CrowdStrike gab die Veröffentlichung des CrowdStrike Global Security Attitude Survey 2019 bekannt, die vom unabhängigen Forschungsunternehmen Vanson Bourne erstellt wurde. Im Rahmen der Studie wurden 1.900 hochrangige IT-Entscheidungsträger und IT-Sicherheitsexperten in den USA, Kanada, Großbritannien, Mexiko, dem Nahen Osten, Australien, Deutschland, Japan,…

Cyberangriffe auf Yachten: wenn aus Piraten Hacker werden

Ein sonniger Tag auf See geht zu Ende. Der Himmel färbt sich langsam rot und majestätisch bewegt sich die luxuriöse Yacht in Richtung Marina. Der Eigner und seine Familie hatten Geschäftsfreunde zu einem Ausflug auf das Mittelmeer eingeladen. Während der Rückfahrt sitzt er mit seinen Gästen am großen Tisch im Salon und bereitet die Unterzeichnung…

Hackerangriffe: Lautlos durch die Hintertür

Welche Maßnahmen präventiv gegen Hackerangriffe helfen und was müssen Unternehmen im Ernstfall beachten? Computer gehören zum Unternehmensalltag dazu. Das gilt für alle Branchen. Doch in dieser digitalen Welt lauern Gefahren. Neben technischen Problemen, Feuer oder Wasser gibt es eine Bedrohung, die mit einer Absicht handelt: Hacker. Warum sie eine Gefahr darstellen und was Unternehmen ganz…

Täglich grüßt der Hacker – sind Passwörter noch zeitgemäß?

Ein australischer IT-Sicherheitsexperte hat in einem Hackerforum die bisher größte öffentlich einsehbare Sammlung gestohlener Zugangsdaten entdeckt. Um 2.692.818.238 (rund 2,7 Milliarden) Zeilen mit E-Mail-Adressen und Passwörtern soll es dabei gehen. Für Betroffene kann damit großer Schaden verbunden sein, etwa, wenn Kreditkartendaten mit kompromittierten Accounts verknüpft sind. Zeit zu handeln und auf Alternativen für klassische Passwörter…

Jeder dritte Onliner hat Angst vor Ransomware

Bekanntheit von Verschlüsselungsattacken steigt. Nur wenige machen Sicherheitskopien ihrer Daten. Geld her oder Daten weg – das ist das Prinzip von sogenannter Ransomware. So werden Schadprogramme bezeichnet, die Kriminelle über das Internet verbreiten und damit Daten auf den Endgeräten von Verbrauchern verschlüsseln. Anschließend fordern die Angreifer ihre Opfer zur Zahlung eines Lösegeldes auf, ohne die…