Threat Intelligence Briefing: Hochschnellende Coronavirus-Cyberangriffe

Mimecast hat einen massiven Anstieg von gefälschten Websites zum Thema Coronavirus festgestellt, zusätzlich zu einer anhaltenden Flut von Spam-E-Mails zum Thema Coronavirus und neuer Malware, einschließlich einer neuen Art von Android-Ransomware. Die Angreifer versuchen, Nutzer mit gefälschten Angeboten für finanzielle Unterstützung, Coronavirus-Tests und Informationen zur Infektionsverfolgung zu täuschen.

Wir haben die neuesten Entwicklungen in Mimecasts wöchentlichem Global Cyber Threat Intelligence-Briefing am 31. März 2020 vorgestellt, dem zweiten in einer fortlaufenden Reihe von interaktiven Web-Sessions, die Kunden und der Öffentlichkeit helfen sollen, angesichts der sich ausbreitenden Coronavirus-Pandemie im Internet sicher zu bleiben.

Eine gute Nachricht: Das Ausmaß der Bedrohung führt zu einer neuen Ebene der Zusammenarbeit innerhalb der Sicherheitsgemeinschaft, einschließlich der Koordination zwischen Mimecast und seinen Konkurrenten, um die Welt widerstandsfähiger zu machen. "Dies ist ein globales Problem, und wir gehen es auf globaler Ebene an - in Abstimmung mit anderen Unternehmen der Branche und auch mit Regierungen", so Michael Madon, SVP & GM, Security Awareness and Threat Intelligence von Mimecast. "Das ist meiner Meinung nach ein positives Ergebnis dieser Aktion: Wir sehen, wie sich die Sicherheitsgemeinschaft zusammenschließt, um uns und die gesamte Weltgemeinschaft vor denen zu schützen, die unsere Schwachstellen ausnutzen wollen."

Netflix-Imitatoren zielen auf Menschen, die zu Hause bleiben

Da immer mehr Menschen gezwungen sind, zu Hause zu bleiben, sehen böswillige Akteure eine Gelegenheit, Menschen ins Visier zu nehmen, die nur wenige andere Möglichkeiten der Freizeitgestaltung haben, als fernzusehen. In nur zwei Tagen hat Mimecast mehr als 500 verdächtige Domains gefunden, die sich als Netflix ausgeben (ein Beispiel dafür finden Sie unten), sowie weitere Websites, die sich als Disney+, Amazon Prime Video und YouTube TV ausgeben.

Einige dieser Betrüger locken die Benutzer mit dem Angebot eines "kostenlosen" Netflix-Abonnements, mit dem Ziel, die Anmeldedaten der Benutzer, einschließlich Benutzernamen und Passwörter, abzugreifen. "Leider verwenden Menschen oft dieselben Benutzernamen und/oder Passwörter auf verschiedenen Websites - es ist also möglich, dass sie dieselben Anmeldedaten für geschäftliche oder private Anmeldungen verwenden", erklärt Thom Bailey, Sr. Direktor, Produkt/Strategie bei Mimecast.

Gefälschte Websites nutzen die Angst vor einer Pandemie aus

Viele gefälschte Websites versuchen, Nutzer zu täuschen, indem sie sich auf aktuelle Themen wie Coronavirus-Tests, COVID-19-Heilmittel und die Verfolgung der Verbreitung von Infektionen konzentrieren. "In den letzten Wochen haben wir einen massiven Anstieg der Zahl der gefälschten Websites zum Thema Coronavirus festgestellt", so Kiri Addison, Mimecast Head of Data Science for Threat Intelligence and Overwatch. Mimecast hat in letzter Zeit mehr als 60.000 gefälschte Websites mit Coronavirus-Bezug entdeckt, darunter:

• 302 Websites, die Testkits für den Heimgebrauch verkaufen - etwas, wonach viele Menschen angesichts der Unsicherheit suchen;
• 44 Websites, die eine Heilung von COVID-19 vorschlagen;
• Unzählige Versuche, sich als die Centers for Disease Control and Prevention (CDC) und die Weltgesundheitsorganisation (WHO) auszugeben - zwei der wichtigsten offiziellen Quellen, an die sich die Menschen für Informationen zum Coronavirus wenden; und
• Gefälschte Spenden-Webseiten, die die Großzügigkeit der Menschen ausnutzen, indem sie vorgeben, Geld für COVID-19-Opfer zu erbitten

E-Mail-Kampagnen konzentrieren sich auf die finanziellen Sorgen der Menschen

Das Volumen der Spam-E-Mails mit dem Thema Coronavirus ist wie schon in den vergangenen Wochen extrem hoch. Spam mit dem Thema COVID-19 machte bis zu 15 % des gesamten blockierten Spams aus, wobei in allen Regionen ähnliche Trends zu beobachten waren.

Doch mit der Entwicklung der Coronavirus-Pandemie passen diese E-Mail-Kampagnen ihren Schwerpunkt an die aktuellen Ängste der Nutzer an. Während frühere Kampagnen sich als chinesische Medizinexperten ausgaben, die Informationen über die Symptome weitergaben, oder als Regierungen, die auf die Krise reagierten, konzentrieren sich jetzt mehr Kampagnen auf die finanziellen Sorgen der Menschen, da die Arbeitslosigkeit und die wirtschaftliche Unsicherheit auf Rekordniveau steigen.

Die jüngste Welle umfasst E-Mail-Kampagnen, die Darlehen, Preise oder staatliche Zuschüsse anbieten, so Addison. Die Betrügereien werden oft durch offiziell aussehende Websites oder Logos noch verlockender gemacht. "Man sieht sehr raffiniert aussehende Websites oder E-Mails", sagte sie. "Kürzlich haben wir eine E-Mail gesehen, die sich als eine bekannte britische Bank ausgab und den Leuten anbot, ihnen zu helfen, indem sie ihnen Tausende von Pfund auf ihrer Kreditkarte gutschreiben. Ein Link in der E-Mail führte zu einer realistisch aussehenden Webseite, auf der die Benutzer aufgefordert wurden, ihre Kreditkartendaten einzugeben.

Gefälschte Coronavirus-Websites verbergen bösartige Nutzlasten

Einige gefälschte Websites versuchen, Benutzer zum Herunterladen von Trojanern oder anderer Malware zu verleiten, indem sie die am weitesten verbreiteten und zuverlässigsten Informationsquellen für Coronaviren imitieren. Zu diesen Quellen gehört das Coronavirus Resource Center der Johns Hopkins University, das zu einer der beliebtesten Websites für die Kartierung und Verfolgung von COVID-19-Fällen in der ganzen Welt geworden ist. Böswillige Akteure machen sich die Ängste, Sorgen und Verwirrung der Menschen zunutze", sagt Dr. Francis Gaffney, Mimecast Director of Threat Intelligence. "Die Menschen wollen wissen, ob bei anderen in ihrer Umgebung das Coronavirus festgestellt wurde.

Ein Link auf einer Social-Media-Plattform führt die Nutzer zu einer gefälschten Webseite, die fast identisch mit der Johns Hopkins-Webseite ist, aber einen bekannten Trojaner, AzorUlt, enthält, der auf dem System des Nutzers installiert wird. Der Trojaner enthält Spyware und einen Key-Logger, der auch die Anmeldedaten der Endbenutzer abfängt.

Neue Android-basierte Ransomware verbreitet sich rasant

Zu den weiteren zunehmenden Bedrohungen gehört eine neue, auf Coronaviren basierende Android-Ransomware namens CovidLock. Eine gefälschte Webseite zur Darstellung von Coronavirus-Infektionen fordert die Besucher auf, eine mobile "Coronavirus-Tracker"-App herunterzuladen, die ihnen verspricht, dass sie damit feststellen können, ob Menschen in ihrer unmittelbaren Umgebung mit dem Virus infiziert sind. In Wirklichkeit laden die Nutzer eine Software herunter, die einen Ransomware-Angriff auslöst.

Wie ich während des Briefings demonstrierte, stellt die App, sobald sie auf ein Android-Gerät heruntergeladen wurde, mehrere Anfragen, um die Kontrolle über das Telefon zu erlangen, und verschlüsselt dann die Daten des Benutzers. Die Ransomware macht das Telefon nicht nur unbrauchbar, sondern droht auch damit, die Videos und Bilder des Besitzers an seine Kontakte zu senden, wenn nicht innerhalb von 48 Stunden ein Lösegeld gezahlt wird. Glücklicherweise haben die Autoren der Ransomware den zur Entschlüsselung des Telefons erforderlichen Schlüssel in die Malware selbst eingebettet. So konnte die Sicherheits-Community den Schlüssel schnell finden und weitergeben: 4865083501.

Jeder, der mit Ransomware infiziert ist, sollte prüfen, ob solche Informationen verfügbar sind, bevor er ein Lösegeld zahlt, so Madon. "Bevor jemand zahlt, sollte er auf jeden Fall eine taktische Pause einlegen und nachsehen, ob der Entschlüsselungscode verfügbar ist", sagte er. Die neue Ransomware unterstreicht auch, wie wichtig es ist, regelmäßig Backups der Daten auf jedem Gerät zu erstellen. Wenn die Inhalte Ihres Telefons in der Cloud gesichert sind, sind die Dinge, die Ihnen am wichtigsten sind, auch dann sicher, wenn Ihr Telefon abgeschaltet wird", sagte er.

Bewährte Praktiken zum Schutz von Fernarbeitern

Da immer mehr Menschen von zu Hause aus arbeiten, stellt Mimecast weiterhin aktuelle Sicherheitsinformationen zur Verfügung, einschließlich kostenloser Videos und Informationen , die Sicherheitsfachleute an ihre Mitarbeiter weitergeben können, um das Sicherheitsbewusstsein zu stärken. Hier sind einige der wichtigsten Sicherheitstipps für Telearbeiter:

• Seien Sie misstrauisch bei E-Mails, Anrufen oder Nachrichten von Personen, die Sie nicht kennen und die versuchen, Ihre Aufmerksamkeit zu erregen, indem sie Sie über den Virus informieren.
• Geben Sie URLs immer selbst ein. Hacker erstellen Websites, die wie offizielle Gesundheitseinrichtungen und Online-Händler aussehen. Navigieren Sie direkt zu offiziellen Websites wie CDC.gov.
• Verwenden Sie sichere und eindeutige Passwörter für alle Ihre Konten, auch für das Wi-Fi im Haus.
• Verbinden Sie sich nicht mit Netzwerken, die Sie nicht kennen. Wenn Ihr Unternehmen über ein virtuelles privates Netzwerk (VPN) verfügt, sollten Sie es unbedingt nutzen.

Neben der Vermittlung von Best Practices an alle Mitarbeiter sollten Unternehmen auch eine persönlichere Herangehensweise in Erwägung ziehen: Sie sollten die am stärksten betroffenen Benutzer im Unternehmen identifizieren, sie ansprechen und schulen, damit sie zu einer Erweiterung des Cybersicherheitsteams werden können, so Josh Douglas, Vice President of Product Management bei Mimecast.

Die Quintessenz

Während sich die COVID-19-Pandemie weiterentwickelt, passen böswillige Akteure ihren Fokus an, um die neuesten Ängste und Sorgen der Menschen auszunutzen. Viele der neuesten Bedrohungen zielen auf Menschen ab, die sich selbst isolieren, aus der Ferne arbeiten oder sich Sorgen um ihre Finanzen machen, weil sie arbeitslos sind oder die Auswirkungen der aktuellen Finanzkrise spüren. Neben dem hohen Aufkommen an Spam-E-Mails hat Mimecast einen massiven Anstieg an gefälschten Coronavirus-bezogenen Websites festgestellt, von denen einige Android-Geräte mit Ransomware infizieren können.