Dreigingsintelligentie

    Threat Intelligence Briefing: Coronavirus cyberaanvallen rijzen de pan uit

    We blijven een ongekend niveau van kwaadaardige activiteit zien naarmate de COVID-19-pandemie zich ontvouwt, waarbij dreigingsactoren hun aandacht verleggen om te azen op de nieuwste ontwikkelingen in de bezorgdheid van mensen die thuis werken of zichzelf isoleren om de verspreiding van de ziekte te helpen stoppen.

    by Meni Farjon
    citygettyimages-627040406-1.jpg

    Hoofdpunten

    In de Cyber Threat Intelligence Briefing van deze week heeft het Threat Intelligence-panel van Mimecast gesproken over:

    • Mimecast heeft een enorme toename gezien van spoof-websites met het coronavirus als thema, naast een zeer hoog spam e-mail volume.
    • Kwaadwillenden blijven zich richten op de laatste angsten van gebruikers, met nepwebsites en -e-mails die financiële hulp bieden en informatie over het traceren van infecties.
    • Nieuwe malware omvat Android-gebaseerde ransomware.
    • Deze nieuwe bedreigingen hebben de veiligheidsgemeenschap ertoe aangezet samen te werken om de wereld weerbaarder te maken.

    Mimecast heeft een enorme piek ontdekt van gespoofde coronavirus-gerelateerde websites, naast een aanhoudende stroom van spam-e-mails met coronavirus-thema en nieuwe malware, waaronder een nieuw type Android ransomware. Aanvallers proberen gebruikers te misleiden met valse aanbiedingen van financiële hulp, coronavirustests en informatie over het traceren van infecties.

    We deelden de laatste ontwikkelingen in de wekelijkse briefing van Mimecast's Global Cyber Threat Intelligence op 31 maart 2020, de tweede in een doorlopende reeks interactieve websessies die zijn ontworpen om klanten en het grote publiek te helpen cyberveilig te blijven terwijl de grotere coronavirus-pandemie zich ontvouwt.

    Goed nieuws: De omvang van de dreiging zet aan tot een nieuw niveau van samenwerking binnen de beveiligingsgemeenschap, waaronder coördinatie tussen Mimecast en haar concurrenten om de wereld weerbaarder te maken. "Dit is een wereldwijd probleem en wij pakken het wereldwijd aan - we coördineren met wat anderen in de branche zien en ook met overheden", zegt Michael Madon, Mimecast SVP & GM, Security Awareness and Threat Intelligence. "Dat is iets wat ik als een positief resultaat zie: Dat de beveiligingsgemeenschap de handen ineenslaat om onszelf en de bredere wereldgemeenschap te beschermen tegen degenen die onze kwetsbaarheden en zwakheden willen uitbuiten."

    Netflix imitators richten zich op thuisblijvers

    Nu steeds meer mensen gedwongen zijn om thuis te blijven, zien kwaadwillende actoren een kans om zich te richten op mensen die wellicht weinig andere recreatiemogelijkheden hebben dan tv-kijken. In slechts twee dagen tijd heeft Mimecast meer dan 500 verdachte domeinen gevonden die zich voordeden als Netflix (een voorbeeld hiervan staat hieronder), evenals andere websites die zich voordeden als Disney+, Amazon Prime Video en YouTube TV.

    tiwebinar-33120-4.png

    Sommige van deze imitators lokken gebruikers met het aanbod van "gratis" Netflix-abonnementen, met het specifieke doel om de gebruikersgegevens, waaronder gebruikersnamen en wachtwoorden, te verzamelen. "Helaas gebruiken mensen vaak dezelfde gebruikersnamen en/of wachtwoorden op verschillende sites. Het is dus mogelijk dat ze dezelfde gegevens gebruiken voor zakelijke of persoonlijke aanmeldingen", legt Thom Bailey, Sr. Director, Product/Strategy bij Mimecast.

    Spoofed websites azen op pandemische angst

    Veel spoofed websites proberen gebruikers te misleiden door zich te richten op actuele zorgen, waaronder coronavirus testen, COVID-19 kuren, en het bijhouden van de verspreiding van infecties. "De afgelopen weken hebben we een enorme toename gezien in het aantal spoofed websites met een coronavirus-thema", zegt Kiri Addison, Mimecast Head of Data Science for Threat Intelligence and Overwatch. Mimecast heeft onlangs meer dan 60.000 gespoofde coronavirus-gerelateerde websites gedetecteerd, waaronder:

    • 302 websites die testkits voor thuisgebruik verkopen - iets waar veel mensen naar op zoek zijn in het licht van de onzekerheid;
    • 44 websites die een COVID-19 kuur suggereren;
    • Talloze pogingen om zich voor te doen als de Centers for Disease Control and Prevention (CDC) en de World Health Organization (WHO) - twee van de belangrijkste officiële bronnen waartoe mensen zich wenden voor informatie over het coronavirus; en
    • Valse donatiewebpagina's die misbruik maken van de vrijgevigheid van mensen door te doen alsof er geld wordt gevraagd voor slachtoffers van COVID-19

    E-mailcampagnes richten zich op de financiële zorgen van mensen

    Het volume van spamberichten met het coronavirus als thema blijft, net als de voorbije weken, bijzonder hoog. Spam met het COVID-19-thema was goed voor ongeveer 15% van alle geblokkeerde spam, met vergelijkbare trends in alle regio's.

    webinar-recap-table-040120.jpg

    Maar naarmate de pandemie van het coronavirus evolueert, passen deze e-mailcampagnes hun focus aan om in te spelen op de laatste angsten van de gebruikers. Terwijl eerdere campagnes zich voordeden als Chinese medische deskundigen die informatie gaven over de symptomen, of als regeringen die reageerden op de crisis, richten nu meer campagnes zich op de financiële zorgen van mensen nu de werkloosheid en de economische onzekerheid tot recordhoogte stijgen.

    De laatste golf omvat e-mailcampagnes waarin leningen, prijzen of overheidssubsidies worden aangeboden, aldus Addison. De zwendel wordt vaak aantrekkelijker gemaakt door het gebruik van officieel uitziende websites of logo's. "Je ziet zeer gelikt uitziende websites of e-mails," zei ze. "We zagen onlangs een imitatie van een bekende Britse bank, die aanbood mensen te helpen door ze duizenden ponden krediet te geven op hun creditcard." Een link in de e-mail leidde naar een realistisch ogende webpagina waarop gebruikers werd gevraagd hun creditcardgegevens in te voeren.

    Valse coronaviruswebsites verbergen kwaadaardige lading

    Sommige spoof websites proberen gebruikers ertoe te verleiden trojans of andere malware te downloaden door de meest gebruikte en gezaghebbende bronnen van informatie over het coronavirus na te bootsen. Die bronnen zijn onder meer het Johns Hopkins University Coronavirus Resource Center, dat een van de populairste websites is geworden voor het in kaart brengen en traceren van gevallen van COVID-19 over de hele wereld. Kwaadwillenden "profiteren van de angsten, zorgen en verwarring van mensen", zegt Dr. Francis Gaffney, Mimecast Director of Threat Intelligence. "Mensen willen weten of bij anderen in hun omgeving het coronavirus is vastgesteld."

    Een link op een social media platform brengt gebruikers naar een spoof webpagina die bijna identiek is aan de Johns Hopkins site maar een bekende trojan bevat, AzorUlt, die op het systeem van de gebruiker wordt geïnstalleerd. De trojan bevat spyware en een key-logger, waarmee ook de gegevens van de eindgebruiker worden verzameld.

    Nieuwe Android-gebaseerde Ransomware verspreidt zich snel

    Andere opkomende bedreigingen zijn onder meer een nieuwe Android-ranansomware met de naam CovidLock. Een valse webpagina die coronavirusinfecties in kaart brengt, moedigt bezoekers aan om een mobiele "Coronavirus tracker" app te downloaden, met de belofte dat de app hen in staat zal stellen na te gaan of mensen in hun onmiddellijke omgeving met het virus zijn geïnfecteerd. In werkelijkheid downloaden gebruikers software die een ransomware-exploit in gang zet.

    Zoals ik tijdens de briefing heb laten zien, doet de app, zodra hij op een Android-toestel is gedownload, verschillende verzoeken om controle over de telefoon te krijgen en versleutelt hij vervolgens de informatie van de gebruiker. Naast het onbruikbaar maken van de telefoon, dreigt de ransomware met het versturen van de video's en foto's van de eigenaar naar hun contacten tenzij er binnen 48 uur losgeld wordt betaald. Gelukkig hebben de auteurs van de ransomware de sleutel die nodig is om de telefoon te ontsleutelen in de malware zelf ingesloten. Als gevolg daarvan was de beveiligingsgemeenschap in staat om de sleutel snel te vinden en te delen: 4865083501.

    Iedereen die is geïnfecteerd door ransomware moet controleren of dergelijke informatie beschikbaar is voordat hij losgeld betaalt, zei Madon. "Voordat iemand betaalt, moeten ze zeker een tactische pauze inlassen en kijken of de ontcijferingscode ergens te vinden is," zei hij. De nieuwe ransomware onderstreept ook het belang van het regelmatig back-uppen van de gegevens op elk apparaat. Als de inhoud van je telefoon wordt opgeslagen in de cloud, "zijn de dingen waar je het meest om geeft veilig, zelfs als ze je telefoon uitschakelen," zei hij.

    Beste praktijken voor de bescherming van externe werknemers

    Nu steeds meer mensen thuis werken, blijft Mimecast bijgewerkte beveiligingsinformatie aanbieden, inclusief gratis video's en informatie die beveiligingsprofessionals kunnen delen met werknemers om het beveiligingsbewustzijn te helpen vergroten. Hier volgen enkele van de beste beveiligingstips voor telewerkers:

    • Wees achterdochtig bij e-mails, telefoontjes of berichten van mensen die u niet kent en die proberen uw aandacht te trekken door updates over het virus te geven.
    • Typ URL's altijd zelf. Hackers maken sites die eruitzien als officiële zorginstellingen en online verkopers. Navigeer rechtstreeks naar officiële websites zoals CDC.gov.
    • Gebruik sterke en unieke wachtwoorden voor al uw accounts, ook voor uw WiFi-toegang thuis.
    • Maak geen verbinding met netwerken die u niet herkent. Als uw bedrijf een virtueel privé-netwerk (VPN) heeft, zorg er dan voor dat u dat gebruikt.

    Naast het communiceren van best practices aan alle werknemers, zouden bedrijven ook een meer persoonlijke benadering moeten overwegen - het identificeren van de meest beoogde gebruikers in het bedrijf, hen betrekken en opleiden, zodat ze een verlengstuk van het cyberbeveiligingsteam kunnen worden, aldus Josh Douglas, Mimecast Vice President Product Management.

    De kern van de zaak

    Naarmate de COVID-19 pandemie evolueert, passen kwaadwillende actoren hun focus aan om te azen op de nieuwste angsten en zorgen van mensen. Veel van de nieuwste bedreigingen zijn gericht op mensen die zichzelf isoleren, op afstand werken of zich zorgen maken over hun financiën omdat ze werkloos zijn of de gevolgen voelen van de huidige gerelateerde financiële crisis. Naast de grote hoeveelheid spam e-mail, heeft Mimecast een enorme piek in gespoofde coronavirus-gerelateerde websites gedetecteerd, waarvan sommige Android-apparaten kunnen infecteren met ransomware.

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven