Cyberkriminelle nutzen Krise um Coronavirus aus

Als ob der Schaden für die Allgemeinheit, für Unternehmen und für viele Menschen auch im privaten Umfeld nicht schon groß genug wäre, jetzt nutzen Cyberkriminelle die Krise um das Corona-Virus für gezielte Cyberangriffe aus. Es handelt sich nach Ansicht der Security-Experten von Proofpoint um eine der größten, wenn nicht sogar die größte E-Mail-Kampagne, die jemals unter einem einzigen Thema durchgeführt wurde. Unter anderem umfasst die Kampagne neue Angriffe der sehr aktiven Hacker-Gruppen TA505 und TA564 (TA = Threat Actor). Diese setzen dabei auf ausgeklügelte Attacken auf das US-Gesundheitswesen, die Fertigungs- und Pharmaindustrie sowie auf das öffentliche Gesundheitswesen.

Zum Portfolio an Schadsoftware, die dabei zum Einsatz kommt, gehört aktuell nahezu alles, was sowohl privaten Anwendern als auch Unternehmen in irgendeiner Form schaden kann. Dazu zählt unter anderem Phishing nach Zugangsdaten, Dateianhänge mit Malware, Links als Verweis zu Webseiten, die mit Schadsoftware infiziert sind, die Kompromittierung von Geschäfts-E-Mails (BEC, auch CEO-Betrug oder Chef-Masche genannt), gefälschte Landing Pages, Downloader und natürlich auch einfach Spam-Mails.

Beispiele für beobachtete Angriffe

Erstmals aufgetaucht ist eine bisher unbekannte Malware namens RedLine Stealer. Dabei appellieren die Kriminellen an die Bereitschaft der Menschen, durch ein verteiltes Computerprojekt zur Erforschung von Krankheiten ein Heilmittel für Covid-19 zu finden. RedLine Stealer ist in russischen Untergrundforen mit verschiedenen Preisoptionen ab 100 Dollar erhältlich und wurde kürzlich aktualisiert, um Krypto-Geld zu stehlen, das sich in Offline-Wallets (sogenannten Cold Wallets) befindet.

Eine weitere Angriffsart sind E-Mails, die an „Eltern und Erziehungsberechtigte“ adressiert sind und die Malware Ursnif enthalten. Diese Schadsoftware stiehlt in der Folge Informationen wie Bankdaten. Die Angreifer nutzen dabei den echten Namen des Empfängers, um die vermeintliche Legitimität dieser E-Mail zu unterstreichen.

Auch gefälschte Anleitungen zum Schutz von Familie und Freunden vor dem Virus, in denen Benutzer aufgefordert werden, auf einen präparierten Link zu klicken, nehmen signifikant zu.

Und schließlich auch E-Mails, die sich an Organisationen aus dem Gesundheitswesen richten und Gegenmittel gegen das Corona-Virus im Austausch gegen Bitcoin anbieten, sind zunehmend zu verzeichnen.

Sherrod DeGrippo, Senior Director of Threat Research and Detection bei Proofpoint, erläutert diese Enwicklung: „Seit mehr als fünf Wochen hat unser Threat Research Team zahlreiche gefährliche E-Mail-Kampagnen mit Bezug zu COVID-19 beobachtet. Viele der Kampagnen setzen dabei auf den Faktor ?Angst?, um potenzielle Opfer zum Klicken zu bewegen. Kriminelle haben dabei die E-Mails für ihre Kampagnen in Wellen versandt – diese reichten von einem Dutzend Empfänger bis zu mehr als 200.000 Adressaten auf einmal. Darüber hinaus verzeichnen wir immer noch steigende Kampagnenzahlen. Ursprünglich konnten wir weltweit etwa eine Kampagne pro Tag beobachten, jetzt stellen wir drei bis vier täglich fest. Dieser Anstieg unterstreicht, wie attraktiv globale Nachrichten für Cyberkriminelle sein können.“

„Die COVID-19-Köder, die wir beobachtet haben, sind Social Engineering in großem Maßstab. Die Kriminellen wissen, dass die Menschen nach Informationen suchen, die ihnen Sicherheit vermitteln. Daher sind die Menschen eher geneigt auf potenziell gefährliche Links zu klicken oder Anhänge herunterzuladen. Etwa 70 Prozent der von Proofpoint aufgedeckten E-Mails liefern Malware und weitere 30 Prozent zielen darauf ab, die Zugangsdaten des Opfers zu stehlen. Die meisten dieser E-Mails versuchen, Zugangsdaten zu stehlen, indem sie gefälschte Landing Pages nutzen, die Gmail oder Office 365 imitieren, und die Benutzer auffordern, ihren Benutzernamen und ihr Passwort einzugeben.“

Autor: Peter Schmitz

(c)2020
Vogel Communications Group