Der Corona-Attacke folgt die Cyberattacke

Business Continuity Der Corona-Attacke folgt die Cyberattacke

26.03.2020 Von Jürgen Schreier

Anbieter zum Thema

Neben dem Coronavirus verbreiten sich derzeit auch allerlei Computerviren wie ein Lauffeuer rund um den Globus. Ziel ist, vertrauliche Daten zu stehlen oder Lösegeld zu erpressen. Der Beitrag schildert die Angriffsmuster und gibt Tipps, wie man sich dagegen wappnen kann.

Aufgrund der Coronavirus-Pandemie arbeiten viele Menschen aktuell aus dem Home Office – das bietet Cyberkriminellen neue Angriffsvektoren.
(Bild: gemeinfrei / Pixabay)

Neben dem Coronavirus treibt noch eine weitere Spezies von Viren ihr Unwesen - die der Computerviren. Vor allem die Tatsache, dass viele Unternehmen ihren Beschäftigten Home Office verordnen oder in Quarantäne befindliche Personen von zuhause aus arbeiten müssen, eröffnet Cybergangstern interessante Angriffsvektoren.

Wie bei den zahllosen Fake-News in den sogenannten sozialen Medien wird nicht n ur mit Angst der Menschen gespielt, sondern auch mit dem Informationsbedürfnis in Sachen Coronavirus beziehungsweise Covid-19. Erst dieser Tage, als “Microsoft Teams“, eine Plattform, die Chat, Besprechungen, Notizen und Anhänge kombiniert, an die Grenzen seiner Leistungsfähigkeit geriet, landeten beim Schreiber dieser Zeilen postwendend diverse Spammails in der Mailbox, in denen zu einem Klick auf einen Link zur Wiederherstellung eines angeblich gesperrten Teams-Zugangs aufgefordert wurde.

Statt dem VPN wird ein Trojaner installiert

Der oder die Versender dieser angeblich von Microsoft stammenden Phishing-Mails waren natürlich nicht die einzigen. Phising und Spammen haben derzeit Hochkonjunktur. Das Team des Cybersicherheits-Spezialisten Cybereason-Nocturnus hat mehrere Arten solcher “Kampagnen“ ins Visier genommen, die speziell auf die am stärksten vom Coronavirus betroffenen Regionen abzielen. Dabei missbrauchen die Angreifer die Pandemie zu ihrem Vorteil, indem sie die Angst der Menschen vor dem Coronavirus nutzen und sie zum Herunterladen von Malware verleiten.

Außerdem nutzen die Cybergauner den Trend zur Verlagerung der Büroarbeit in die eigenen vier Wände, indem sie beispielsweise Malware promoten, die sich als VPN-Installationsprogramm tarnt.

Auch Nutzer mobiler Endgerät sind vor Malware-Attacken nicht gefeit. So erstellen die Angreifer bösartige Apps, die sich als legitime Anwendungen großer Organisationen ausgeben und Einzelpersonen bei der Erholung von einer Coronavirus-Infektion zu unterstützen sollen. Doch statt eines medizinischen Hilfsprogramms lädt die App den bekannten Bankentrojaner Cerberus herunter, der klammheimlich sensible Daten stiehlt.

Schreck lass nach: Erpresser setzen auf Scareware

Ebenfalls im Fadenkreuz der Black Hats: Organisationen des Gesundheitswesens. Über Ransomware oder Scareware (Scareware tut nur so, als wäre sie Ransomware) versucht man “Lösegeld” zu erpressen. Die Chancen, dass dies tatsächlich gelingt, stehen dafür gar nicht schlecht, denn das öffentliche Gesundheitswesen in in vielen Ländern derzeit kapazitätsmäßig am Anschlag wie das Beispiel von Italien zeigt.

SICHERHEITSEMPFEHLUNGEN

Das Cybereason-Nocturnus-Team empfiehlt dringend, Maßnahmen zur Verhinderung von Phishing-Angriffen zu ergreifen. Dazu gehört der Einsatz von Tools wie E-Mail-Filterung, aber auch die Schulung der Mitarbeiter, um diesen über die Risiken aufzuklären. Zudem braucht es einfacher Tipps, die sich in der täglichen Arbeit (auch im Home Office!) leicht umsetzen lassen.

Vorsicht walten lassen: Um die Wahrscheinlichkeit, Opfer eines Phishing-Angriffs zu werden, deutlich zu verringern, gibt es ein ganz simples Rezept: Vorsichtig sein! Das gilt soohk für das Surfen im Internet als auch für empfangene E-Mails. Prüfen Sie bei jeder E-Mail, die Authentizität des Absenders, bevor die Anhänge öffnen oder auf Links klicken. E-Mails, deren Inhalt für den Empfänger nicht sinnvoll ist (weil er zum Beispiel einen Account oder eine Anwendung, zu deren Reaktivierung er aufgefordert wird, gar nicht besitzt bzw. nutzt). Gibt es dennoch Zweifel, sollte man auf jeden Fall das Sicherheitsteam seines Unternehmens kontaktieren - auch vom Home Office aus!

Achten Sie auf verkürzte Links: Wenn Sie Zweifel an der Gültigkeit eines Links haben, öffnen Sie ein neues Browserfenster und geben Sie die URL in die Adressleiste ein. Untersuchen Sie die URL und vergewissern Sie sich, dass diese authentisch ist.

Seien Sie auf der Hut vor E-Mails, die um vertrauliche Informationen bitten: E-Mails, in denen nach Informationen wie Anmelde- oder Kreditkarteninformationen und anderen vertraulichen Daten gefragt wird, sind in der Regel nicht legitim. Legitime Organisationen - die Banken eingeschlossen - fordern nie die Weitergabe vertrauliche Informationen per E-Mail an.

Laden Sie nur Dateien von vertrauenswürdigen Websites herunter: Überprüfen Sie unbedingt, ob eine von Ihnen verwendete Website legitim und vertrauenswürdig ist. Um bestimmte VPNs herunterzuladen, sollte man sich stets auf die offizielle Website des VPN-Anbiers begeben und die Anwendung direkt von dort installieren. Absolutes Tabu ist das Herunterladen von gecrackten Software-Versionen, da sie normalerweise mit anderer Software (im günstigsten Fall Adware) oder Malware gebündelt sind und Schäden am Rechner verursachen können.

Umfangreiche Checkliste von Cybereason downloaden

Wie die jüngste Geschichte zeigt, wirken sich Großereignisse nicht nur in der physischen Dimension, sondern auch in der Cyber-Dimension aus. Wahlen, olympische Spiele, Kriege und Gesundheitsfragen wie der jüngste Coronavirus-Ausbruchs, betreffen Milliarden von Menschen und fanden schnell den Weg ins Cyberspace.

Großereignisse - ein gefundenes Fressen für Angreifer

Allerdings nutzen Angreifer gerne solche globalen Ereignisse aus, um neue Angriffsmöglichkeiten zu finden. Covid-19 bildet da keine Ausnahme. Sie missbrauchen die Panik der Bürger, um sie dazu zu bringen, "dringende" E-Mails zu öffnen, die sie sonst (eher) nicht öffnen würden. Das Nocturnus-Team von Cybereason beobachtet weiterhin Hunderte von Phishing-Angriffen, bei denen Dateien und Domänen mit Coronavirus-Themen genutzt werden, um Malware zu verbreiten und die Opfer weltweit zu infizieren.

Bildergalerie

Coronavirus-Landkarte mit Azorult-Infostealer

Angriffswelle startet in China

Wie verschiedene Cybersicherheits-Experten berichten, wurde eine Reihe von Malware durch "Coronavirus"-Kampagnen verbreitet, darunter Emotet, RemcomRAT, ParallaxRAT, HawkEye, TrickBot, Agent Tesla und andere. Die bisher am häufigsten beobachtete Technik ist ein Speer-Phishing-Angriff, der E-Mails mit Coronavirus-Themen mit bösartigen Anhängen verbindet.

Als sich das Coronavirus erstmals in China verbreitete, beobachtete das Nocturnus-Team, dass die meisten bösartigen Dateien zu Coronavirus-Themen von China aus hochgeladen wurden und auf chinesischsprachige Personen abzielten. Als sich der Virus auch außerhalb Chinas verbreitete und immer mehr Länder infizierte, stieg die Zahl der Uploads innerhalb weniger Tage von zehn auf Hunderte, wobei jeden Tag neue Dateien aus verschiedenen Ländern hochgeladen wurden. Diese neuen Uploads zielten auf Menschen aus Japan, Südkorea, Europa und anderen infizierten Ländern ab.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Südkorea - eines der ersten Länder, das nach China vom Coronavirus betroffen war - wurde von mehreren verschiedenen Phishing-Angriffen zum Thema Coronavirus angegriffen. Südkoreanische Computernutzer wurden sogar als Zielpersonen für gefälschte Lösegeldkampagnen ins Visier genommen. Verwendet wird dazu sogenannte Scareware, die zwar den Computer nicht verschlüsselt, aber die Opfer erschreckt derart erschreckt, dass diese bereits sind, ein Lösegeld zu zahlen.

Tückischer als die schiere Angriffsmenge auf IoT-Geräte ist, dass Manipulationen von vernetzten Geräten oft unentdeckt bleiben. (Bild: gemeinfrei)

Europa gerät ins Fadenkreuz

Mit der Verlagerung des Zentrum der Pandemie nach Europa - konkret nach Italien - ist die Zahl der Phishing-Kampagnen gestiegen, die sich an italienischsprachige Menschen richten.

Ein weiterer Trend zur Verbreitung von Malware, auf den Cyberbösewichte setzen, ist die Verwendung einer Coronavirus-Landkarte. Wie kürzlich berichtet, verbirgt sich in dieser Karte der Download des Azorult-Infostealers. Der Azorult-Infostealer ist in der Lage, sensible Informationen unbemerkt abzugreifen und an den Angreifer zu schicken.

Der letzte Schrei: Fake VPNs mit eingebautem Trojaner

Das Cybereason-Nocturnus-Team verfolgt auch eine Zunahme der Verfügbarkeit von bösartigern Fake-VPN-Installationsprogrammen. Da viele Unternehmen auf digitale Heimarbeit zurückgreifen, um die Verbreitung von Coronaviren einzudämmen, drängen sie ihre Mitarbeiter auch dazu, ein VPN als Best Practice zu verwenden.

Angreifer nutzen das aus, indem sie Computernutzer dazu bewegen, Malware herunterzuladen und zu installieren, die sich als legitimer VPN-Client tarnt.

So hat das Nocturnus-Team eine gefälschte Website (fil24[.]xyz) aufgedeckt, die behauptet, verschiedene legitime VPN-Installationsprogramme und Installationsprogramme für andere Programme wie Facebook und Instagram zur Verfügung zu stellen. Wenn ein Benutzer jedoch versucht, das "VPN" herunterzuladen, wird er zu f444[.]xyz umgeleitet und lädt Malware herunter.

Mobile Devices under attack

Sogar die Programmierer mobiler Malware versuchen, auf der Coronavirus-Welle mitzuschwimmen. So läuft aktuell eine Kampagne, die eine präparierte mehrsprachige Website nutzt, die Benutzer dazu verleitet, sich dort als legitime Anwendung getarnte Malware herunterzuladen. So wird behauptet, dass die App "Wege zur Befreiung vom Coronavirus" im Auftrags der Weltgesundheitsorganisation entwickelt worden sei, um der Software die nötige Authentizität zu verschaffen.

Beim Herunterladen handelt man sich jedoch in Wirklichkeit den berüchtigten Banktrojaner Cerberus ein, der zum Diebstahl sensibler Bankdaten (Kreditkarten, Online-Banking) verwendet wird.

Das Gesundheitswesen wird lahmgelegt

Am “fiesesten” sind vor dem Hintergrund der Coronavirus-Pandemie zweifellos die Attacken auf die Gesundheitsinfrastruktur. In der vergangenen Woche wurde ein Lösegeldanschlag gegen das Universitätsklinikum im tschechischen Brünn entdeckt. Diese Einrichtung verfügt über eines der größten Covid-19-Forschungslabore des Landes.

Wegen des Malware-Angriffs wurde das gesamte IT-Netzwerk der Klinik abgeschaltet, was weitere Abteilungen im gesamten Krankenhaus betraf.

Diese Art von Angriffen flößt dem gestressten Krankenhauspersonal enorme Angst ein, was wiederum zu Panik unter den Patienten führen kann. Das Gesundheitspersonal ist in Krisenzeiten ein leichtes Ziel, da es möglichst viele Antworten und Informationen über die aktuelle Situation sucht. Das macht die im Healthcare-Bereich Beschäftigten zu einem Hauptziel für Phishing-Angriffe.

Momentan sind italienische Mailempfäng "under attack"; schließlich gibt es in Italien die meisten Covid-19-Erkrankungen. Alllerdings ist nicht ausgeschlossen, dass auch Deutschland ins Visier der Cyber-Bösewichte gerät. (Sophos)

Phising-Kampagnen weiter auf hohem Niveau

Zu diesem Zeitpunkt besteht noch Unsicherheit über das die Coronavirus-Pandemie. Wie schnell wird sie ausbreiten, wann wird sie vorüber sein? Dies löst weltweit große Besorgnis aus, vor allem in Europa, Iran und in den USA, also in den im Moment am stärksten betroffenen Regionen beziehungsweise Ländern. Die Nocturnus-Experten gehen davon aus, dass die Phishing-Kampagnen, die diese Pandemie ausnutzen, weiterhin auf hohem Niveau gefahren werden - insbesondere in Gebieten, in denen die Bevölkerung am stärksten von dem Virus betroffen ist.

Buchtipp

Das Fachbuch "Cybersicherheit" führt grundlegend und praxisnah an die aktuellen Herausforderungen der IT-Security heran. Dabei werden bewusst neue digitale Entwicklungen, wie die Vernetzung industrieller Maschinen und Anlagen durch Industrie-4.0-Technologien, adressiert.

Mehr erfahren

(ID:46417476)