Cyberaanvallen worden steeds gerichter in de tijd van COVID

Cybercriminelen zijn een opportunistische bende. Ze zijn voortdurend op zoek naar nieuwe en meer snode manieren om zwakke plekken in de beveiliging van ondernemingen uit te buiten. Terwijl COVID-19 voortdendert en nieuwe golven van ongerustheid en verwarring voortbrengt, vissen slechte actoren in deze onrustige wateren.

In de afgelopen maanden is het aantal gevallen van ransomware, betalingsfraude, bedrijfsspionage, diefstal van intellectuele eigendom en desinformatiecampagnes sterk toegenomen. [1] Deze aanvallen komen van twee kanten: cyberangs versturen zeer gerichte e-mails die profiteren van de verwarring in verband met de pandemie, terwijl ze tegelijkertijd nieuwe kwetsbaarheden in de infrastructuur uitbuiten als gevolg van de recente stormloop op werken op afstand. [2]

COVID, werken op afstand en overstappen naar de cloud hebben geleid tot meer kwetsbaarheden

"Hoewel e-mail en clouds het levenssap zijn van de telewerker, breiden ze ook het begrip organisatierisico uit", merkt Thom Bailey op, hoofd wereldwijde productmarketing van Mimecast. Hij merkt op dat cybercriminelen dankzij de pandemie een groter aanvalsoppervlak hebben gekregen. Daar komt nog bij dat de plotselinge toevloed van veranderingen in de infrastructuur de druk op de IT-afdeling van bedrijven heeft opgevoerd, waardoor het risico van verkeerde netwerkconfiguraties is toegenomen.

De gevolgen zijn aanzienlijk. In het derde kwartaal van 2020 heeft Mimecast vastgesteld dat het gebruik van schadelijke URL's met bijna 60% is toegenomen, dat het aantal gevallen van malware met 36% is gestegen, dat het aantal impersonatieaanvallen met 30% is toegenomen en dat het aantal spamaanvallen met 26% is toegenomen, waarbij de overgrote meerderheid van deze aanvallen via e-mail plaatsvindt. [3]

Hoewel werken op afstand en de verschuiving naar de cloud niets nieuws zijn, meldde Mimecast tijdens zijn oktober 2020 Global Cyber Threat Intelligence Quarterly Briefing dat 40% van de organisaties in Noord-Amerika en EMEA hun cloudmigratie-initiatieven hebben versneld in reactie op de pandemie. Bovendien is 84% van de bedrijven van plan om hun COVID-gerelateerde thuiswerkinitiatieven ook na afloop van de pandemie voort te zetten.

Daarom hebben kwaadwillenden zich geconcentreerd op het misbruiken van de telewerkinfrastructuur van bedrijven, waaronder bekende kwetsbaarheden in VPN's en in Microsofts Remote Desktop Protocol (RDP). [4] Ze hebben het ook gemunt op de zwakste schakel in deze keten: de gebruikers.

"Mensen die thuis werken, kunnen worden afgeleid," zegt Bailey, "en ze snijden soms in de bochten als het op cyberbeveiliging aankomt." Het kan bijvoorbeeld makkelijker voor ze zijn om hun werkgerelateerde e-mails vanuit de keuken te checken met hun persoonlijke iPad, in plaats van naar boven te gaan naar hun thuiskantoor om ze te lezen op de laptop die ze van het bedrijf hebben gekregen.

Hiervan profiterend, maken kwaadwillenden steeds meer gebruik van blended threats. Hoewel e-mail meestal het startpunt is voor deze aanvallen, maken ze gebruik van vertrouwde bronnen zoals LinkedIn, Dropbox, Word en Google Docs om verborgen stukjes kwaadaardige code te verspreiden.

Slechte Acteurs Gedijen op Angst, Onzekerheid en Chaos

Slechte actoren maken gebruik van technieken die de aandacht trekken van hun beoogde doelwitten en azen op hun bezorgdheid over COVID en aanverwante politieke gebeurtenissen.

Voor cybercriminelen "heeft het huidige geopolitieke landschap een rijk scala aan mogelijkheden opgeleverd," legt Philip Hay, hoofd TI Analysis bij Mimecast, uit. "Het gaat onder meer om COVID, de Amerikaanse presidentsverkiezingen, Brexit, economische kwesties en veranderingen in het regeringsbeleid. Deze zorgen voor onzekerheid die de dreigingsactor wil uitbuiten."

Zo werd in een recente kwaadaardige e-mail beweerd dat er waardevolle informatie van insiders werd aangeboden over de toestand van president Trump nadat hij door het coronavirus was besmet. Een link leidde naar een Google Docs-pagina, die een tweede link bevatte om een Java-bestand te downloaden. Een Emotet Trojan was in het bestand ingesloten, en na het downloaden begon het te zoeken naar wachtwoorden die in de webbrowser van het doelwit waren opgeslagen. Ook werd een ander stuk malware gedownload dat naar bankgegevens zoekt.

Impersonatie en COVID-gerelateerde phishingaanvallen

Andere COVID-gerelateerde phishingaanvallen maken gebruik van imitatie. Ze proberen het te laten lijken alsof de e-mail afkomstig is van een Microsoft-teamlid, een gezondheidsinstantie of zelfs de CEO van het bedrijf van het beoogde slachtoffer. [5] Ze kunnen ook onderwerpregels gebruiken die inspelen op de nieuwsgierigheid van de ontvanger. Hier volgen enkele recente voorbeelden:

• Bericht van de Centers for Disease Control and Prevention
• Coronavirus (2019 nCoV) Veiligheidsmaatregelen van de Wereldgezondheidsorganisatie
• Belangrijke wijzigingen in het bedrijfsbeleid met betrekking tot COVID-19
• Klik hier voor informatie over het Coronavirus
• COVID 19 Voorbereidingsleidraad
• Covid-19 in uw regio? Gelieve uw informatie te bevestigen
• COVID-19 Virus Tracker

"Omdat deze berichten van iemand lijken te komen die het doelwit kent of van een andere vertrouwde bron, vergroot dit de kans dat de aanval werkt," merkt Kiri Addison, hoofd Data Science bij Mimecast, op. Om het slachtoffer onder druk te zetten snel te reageren, voegt ze eraan toe, bevatten sommige e-mails een dringend werkgerelateerd verzoek en komen ze laat op vrijdag aan, net voor het begin van het weekend.

Om zich beter tegen deze aanvallen te beschermen, raadt Addison bedrijven aan om te beginnen met een inventarisatie van hun huidige cyberbeveiligingstools, -beleid en -bescherming en een gedetailleerde gap-analyse uit te voeren. Andere voorzorgsmaatregelen zijn het gebruik van gelaagde beveiligingssoftware, het routinematig updaten van systemen met de nieuwste beveiligingspatches, het verplicht stellen van het gebruik van multifactorauthenticatie in het hele bedrijf, het regelmatig uitvoeren van back-ups, het opstellen van een duidelijk en definitief responsplan en het doorlopend verzorgen van voorlichting en training voor werknemers . Deze laatste stap is misschien wel de belangrijkste, zegt ze, "want als werknemers eenmaal op de hoogte zijn van phishing-e-mails, klikken ze er niet meer op".

De kern van de zaak

Cybercriminelen maken gebruik van COVID-19, de plotselinge toename van thuiswerken en de huidige politieke gebeurtenissen om hun doelwitten te verleiden op e-mailkoppelingen te klikken waarmee Emotet en andere malware worden gedownload. Dit vraagt om een grotere paraatheid van de kant van bedrijven, met inbegrip van responsplannen, softwarebescherming en cyberbeveiligingsbewustzijnstrainingen.

[1] " COVID-19 Exploited by Malicious Cyber Actors ," Cybersecurity and infrastructure Security Agency, UK.

[2] " Threat Intelligence Briefing: Pandemic Fallout Strains Cybersecurity and Resilience ," Mimecast.

[3] " Global Cyber Threat Intelligence Quarterly Briefing - October 27, 2020 ," Mimecast.

[4] " COVID-19 Exploited by Malicious Cyber Actors ," Cybersecurity and infrastructure Security Agency, UK.

[5] " Phishing-campagnes imiteren Microsoft Teams, HHS COVID-19 Vaccine Tracker ," Health IT Security.