Neben dem Coronavirus verbreiten sich derzeit auch allerlei Computerviren wie ein Lauffeuer rund um den Globus. Ziel ist, vertrauliche Daten zu stehlen oder Lösegeld zu erpressen. Der Beitrag schildert die Angriffsmuster und gibt Tipps, wie man sich dagegen wappnen kann.

Neben dem Coronavirus treibt noch eine weitere Spezies von Viren ihr Unwesen – die der Computerviren. Vor allem die Tatsache, dass viele Unternehmen ihren Beschäftigten Home Office verordnen oder in Quarantäne befindliche Personen von zuhause aus arbeiten müssen, eröffnet Cybergangstern interessante Angriffsvektoren.

Wie bei den zahllosen Fake-News in den sogenannten sozialen Medien wird nicht nur mit Angst der Menschen gespielt, sondern auch mit dem Informationsbedürfnis in Sachen Coronavirus beziehungsweise Covid-19. Erst dieser Tage, als „Microsoft Teams“, eine Plattform, die Chat, Besprechungen, Notizen und Anhänge kombiniert, an die Grenzen seiner Leistungsfähigkeit geriet, landeten beim Schreiber dieser Zeilen postwendend diverse Spammails in der Mailbox, in denen zu einem Klick auf einen Link zur Wiederherstellung eines angeblich gesperrten Teams-Zugangs aufgefordert wurde.

Statt dem VPN wird ein Trojaner installiert

Der oder die Versender dieser angeblich von Microsoft stammenden Phishing-Mails waren natürlich nicht die einzigen. Phising und Spammen haben derzeit Hochkonjunktur. Das Team des Cybersicherheits-Spezialisten Cybereason-Nocturnus hat mehrere Arten solcher „Kampagnen“ ins Visier genommen, die speziell auf die am stärksten vom Coronavirus betroffenen Regionen abzielen. Dabei missbrauchen die Angreifer die Pandemie zu ihrem Vorteil, indem sie die Angst der Menschen vor dem Coronavirus nutzen und sie zum Herunterladen von Malware verleiten.

Außerdem nutzen die Cybergauner den Trend zur Verlagerung der Büroarbeit in die eigenen vier Wände, indem sie beispielsweise Malware promoten, die sich als VPN-Installationsprogramm tarnt.

Auch Nutzer mobiler Endgerät sind vor Malware-Attacken nicht gefeit. So erstellen die Angreifer bösartige Apps, die sich als legitime Anwendungen großer Organisationen ausgeben und Einzelpersonen bei der Erholung von einer Coronavirus-Infektion zu unterstützen sollen. Doch statt eines medizinischen Hilfsprogramms lädt die App den bekannten Bankentrojaner Cerberus herunter, der klammheimlich sensible Daten stiehlt.

Schreck lass nach: Erpresser setzen auf Scareware

Ebenfalls im Fadenkreuz der Black Hats: Organisationen des Gesundheitswesens. Über Ransomware oder Scareware (Scareware tut nur so, als wäre sie Ransomware) versucht man „Lösegeld? zu erpressen. Die Chancen, dass dies tatsächlich gelingt, stehen dafür gar nicht schlecht, denn das öffentliche Gesundheitswesen in in vielen Ländern derzeit kapazitätsmäßig am Anschlag wie das Beispiel von Italien zeigt.

Wie die jüngste Geschichte zeigt, wirken sich Großereignisse nicht nur in der physischen Dimension, sondern auch in der Cyber-Dimension aus. Wahlen, olympische Spiele, Kriege und Gesundheitsfragen wie der jüngste Coronavirus-Ausbruchs, betreffen Milliarden von Menschen und fanden schnell den Weg ins Cyberspace.

Großereignisse – ein gefundenes Fressen für Angreifer

Allerdings nutzen Angreifer gerne solche globalen Ereignisse aus, um neue Angriffsmöglichkeiten zu finden. Covid-19 bildet da keine Ausnahme. Sie missbrauchen die Panik der Bürger, um sie dazu zu bringen, „dringende“ E-Mails zu öffnen, die sie sonst (eher) nicht öffnen würden. Das Nocturnus-Team von Cybereason beobachtet weiterhin Hunderte von Phishing-Angriffen, bei denen Dateien und Domänen mit Coronavirus-Themen genutzt werden, um Malware zu verbreiten und die Opfer weltweit zu infizieren.

Angriffswelle startet in China

Wie verschiedene Cybersicherheits-Experten berichten, wurde eine Reihe von Malware durch „Coronavirus“-Kampagnen verbreitet, darunter Emotet, RemcomRAT, ParallaxRAT, HawkEye, TrickBot, Agent Tesla und andere. Die bisher am häufigsten beobachtete Technik ist ein Speer-Phishing-Angriff, der E-Mails mit Coronavirus-Themen mit bösartigen Anhängen verbindet.

Als sich das Coronavirus erstmals in China verbreitete, beobachtete das Nocturnus-Team, dass die meisten bösartigen Dateien zu Coronavirus-Themen von China aus hochgeladen wurden und auf chinesischsprachige Personen abzielten. Als sich der Virus auch außerhalb Chinas verbreitete und immer mehr Länder infizierte, stieg die Zahl der Uploads innerhalb weniger Tage von zehn auf Hunderte, wobei jeden Tag neue Dateien aus verschiedenen Ländern hochgeladen wurden. Diese neuen Uploads zielten auf Menschen aus Japan, Südkorea, Europa und anderen infizierten Ländern ab.

Südkorea – eines der ersten Länder, das nach China vom Coronavirus betroffen war – wurde von mehreren verschiedenen Phishing-Angriffen zum Thema Coronavirus angegriffen. Südkoreanische Computernutzer wurden sogar als Zielpersonen für gefälschte Lösegeldkampagnen ins Visier genommen. Verwendet wird dazu sogenannte Scareware, die zwar den Computer nicht verschlüsselt, aber die Opfer derart erschreckt, dass diese bereits sind, ein Lösegeld zu zahlen.

Europa gerät ins Fadenkreuz

Mit der Verlagerung des Zentrum der Pandemie nach Europa – konkret nach Italien – ist die Zahl der Phishing-Kampagnen gestiegen, die sich an italienischsprachige Menschen richten.

Ein weiterer Trend zur Verbreitung von Malware, auf den Cyberbösewichte setzen, ist die Verwendung einer Coronavirus-Landkarte. Wie kürzlich berichtet, verbirgt sich in dieser Karte der Download des Azorult-Infostealers. Der Azorult-Infostealer ist in der Lage, sensible Informationen unbemerkt abzugreifen und an den Angreifer zu schicken.

Der letzte Schrei: Fake VPNs mit eingebautem Trojaner

Das Cybereason-Nocturnus-Team verfolgt auch eine Zunahme der Verfügbarkeit von bösartigern Fake-VPN-Installationsprogrammen. Da viele Unternehmen auf digitale Heimarbeit zurückgreifen, um die Verbreitung von Coronaviren einzudämmen, drängen sie ihre Mitarbeiter auch dazu, ein VPN als Best Practice zu verwenden.

Angreifer nutzen das aus, indem sie Computernutzer dazu bewegen, Malware herunterzuladen und zu installieren, die sich als legitimer VPN-Client tarnt.

So hat das Nocturnus-Team eine gefälschte Website (fil24[.]xyz) aufgedeckt, die behauptet, verschiedene legitime VPN-Installationsprogramme und Installationsprogramme für andere Programme wie Facebook und Instagram zur Verfügung zu stellen. Wenn ein Benutzer jedoch versucht, das „VPN“ herunterzuladen, wird er zu f444[.]xyz umgeleitet und lädt Malware herunter.

Mobile Devices under attack

Sogar die Programmierer mobiler Malware versuchen, auf der Coronavirus-Welle mitzuschwimmen. So läuft aktuell eine Kampagne, die eine präparierte mehrsprachige Website nutzt, die Benutzer dazu verleitet, sich dort als legitime Anwendung getarnte Malware herunterzuladen. So wird behauptet, dass die App „Wege zur Befreiung vom Coronavirus“ im Auftrags der Weltgesundheitsorganisation entwickelt worden sei, um der Software die nötige Authentizität zu verschaffen.

Beim Herunterladen handelt man sich jedoch in Wirklichkeit den berüchtigten Banktrojaner Cerberus ein, der zum Diebstahl sensibler Bankdaten (Kreditkarten, Online-Banking) verwendet wird.

Das Gesundheitswesen wird lahmgelegt

Am „fiesesten? sind vor dem Hintergrund der Coronavirus-Pandemie zweifellos die Attacken auf die Gesundheitsinfrastruktur. In der vergangenen Woche wurde ein Lösegeldanschlag gegen das Universitätsklinikum im tschechischen Brünn entdeckt. Diese Einrichtung verfügt über eines der größten Covid-19-Forschungslabore des Landes.

Wegen des Malware-Angriffs wurde das gesamte IT-Netzwerk der Klinik abgeschaltet, was weitere Abteilungen im gesamten Krankenhaus betraf.

Diese Art von Angriffen flößt dem gestressten Krankenhauspersonal enorme Angst ein, was wiederum zu Panik unter den Patienten führen kann. Das Gesundheitspersonal ist in Krisenzeiten ein leichtes Ziel, da es möglichst viele Antworten und Informationen über die aktuelle Situation sucht. Das macht die im Healthcare-Bereich Beschäftigten zu einem Hauptziel für Phishing-Angriffe.

Phising-Kampagnen weiter auf hohem Niveau

Zu diesem Zeitpunkt besteht noch Unsicherheit über das die Coronavirus-Pandemie. Wie schnell wird sie sich ausbreiten, wann wird sie vorüber sein? Dies löst weltweit große Besorgnis aus, vor allem in Europa, Iran und in den USA, also in den im Moment am stärksten betroffenen Regionen beziehungsweise Ländern. Die Nocturnus-Experten gehen davon aus, dass die Phishing-Kampagnen, die diese Pandemie ausnutzen, weiterhin auf hohem Niveau gefahren werden – insbesondere in Gebieten, in denen die Bevölkerung am stärksten von dem Virus betroffen ist.

Autor: Jürgen Schreier

(c)2020
Vogel Communications Group

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.

Vogel Communications Group