Zum ersten Mal in der Geschichte der Cyber-Sicherheit sind jede Branche und jede Art von Endgerät weltweit von Angriffen betroffen, die auf einem einzigen Thema basieren. Cyber-Kriminelle nutzen die aktuelle Pandemie aus und greifen sogar medizinische Einrichtungen an, die versuchen, diese Krankheit zu stoppen. Die Cyber-Kriminalität befindet sich nach im Goldrausch, der darauf abzielt, sich COVID-19 zunutze zu machen.
Das Malware-Analyseteam von Palo Alto Networks, Unit42, verfolgt eine Fülle von Cyber-Angriffen mit COVID-19-Themen, die in den letzten Monaten weltweit aufgetaucht sind. Seit Anfang dieses Jahres hat Unit 42 mehr als 40.000 neu registrierte Websites mit einem Coronavirus-bezogenen Namen identifiziert. Aufgrund der Betrugsmaschen und Malware, die auf ahnungslose Verbraucher abzielen, hat Unit 42 diese als „risikoreiche“ Websites eingestuft.
Die globalen Auswirkungen der COVID-19-Pandemie haben auch zu einem Mangel an Vertrauen in die Regierung und die Medien als zuverlässige Informationsquellen geführt. Diese Konstellation hat letztlich einen perfekten Sturm für Cyber-Kriminelle geschaffen, um größeren Erfolg zu haben. Die Menschen sind ständig auf der Suche nach neuen Informationsquellen, und die Cyber-Kriminellen haben die Gelegenheit genutzt, dies auszunutzen.
Die Angreifer haben es auf verunsicherte Menschen abgesehen, die auf der Suche nach COVID-19-Updates sind und themenbezogene Produkte online kaufen. Hierzu haben sie ihre Taktiken durch gewinnorientierte Angriffe verfeinert. Die Analysten von Palo Alto Networks haben die folgenden Cyber-kriminellen Aktivitäten festgestellt:
- Betrugsseiten, die Artikel wie Gesichtsmasken und Handdesinfektionsmittel zu niedrigen Preisen anbieten.
- Gefälschte COVID-19-E-Books, die neue „Sicherheitstipps“ versprechen. In Wirklichkeit liefern die Website-Betreiber nach dem Kauf kein Produkt. Stattdessen haben sie es auf das Geld und alle persönlichen und finanziellen Informationen des Nutzers, die auf die Website hochgeladen wurden, abgesehen.
- Es gibt Hinweise, dass Cyber-Kriminelle auch ausfallsichere Websites erstellen, die derzeit ruhen und darauf warten, schnell wieder aktiviert zu werden, wenn eine andere betrügerische Website abgeschaltet wird.
- Cyber-Kriminelle nutzen Cloud Service Provider (wie Amazon, Google, Microsoft und Alibaba), um einige dieser schädliche Websites zu hosten. Wenn Bedrohungen aus der Cloud stammen, kann es einfacher sein, der Entdeckung zu entgehen, indem man die Ressourcen eines Cloud-Providers kompromittiert. Cloud-Provider setzen aber rigorose Screening- und Überwachungsprozesse ein.
- Auch wegen der höheren Kosten ist es bisher relativ selten vorgekommen, dass Cyber-kriminelle Akteure schädliche Domains in öffentlichen Clouds hosten.
Die IT-Sicherheitsanalysten von Palo Alto Networks haben auch viele Cyber-Angriffe auf staatliche Gesundheitsbehörden, lokale und regionale Regierungen sowie große Universitäten, die sich mit den kritischen Reaktionsbemühungen der COVID-19-Pandemie befassen, aufgedeckt und blockiert. Zu den betroffenen Regionen zählen die USA, Kanada, Deutschland, die Türkei, Korea und Japan.
Es ist zwar nicht überraschend, dass Cyber-Kriminelle diese Gelegenheit ergreifen, um die Pandemie zu ihrem persönlichen Vorteil auszunutzen. Es ist aber klar, dass sie in jedem Fall Erfolg haben werden und langfristig davon profitieren.
Experten erwarten zweite Welle
Die COVID-19-Fälle steigen in einigen Ländern weiter an und Experten erwarten eine zweite Welle noch in diesem Jahr. Daher sind neue Themen, die Angreifer im Zusammenhang mit den Nachrichten über die Pandemie aufgreifen, zu erwarten. Ende Juni hat Unit 42 gefährliche E-Mails mit den Betreffzeilen „Lieferant für Gesichtsmaske/Stirnthermometer“ und „Medizinische Maske, Schutzbrille und Temperaturmessgerät verfügbar“ erfasst. Dieser sich entwickelnde Trend dürfte sich aufgrund der Nachrichtenlage fortsetzen. Darüber hinaus geht Unit 42 davon aus, dass die USA wahrscheinlich stärker von Angreifern ins Visier genommen werden als Länder, in denen es praktisch kein COVID-19 mehr gibt, wie etwa Neuseeland.
Zu erwarten ist auch ein Anstieg der Cyber-Kriminalität, wenn die Wirtschaft in eine Rezession gerät. Da die Arbeitslosenzahlen auf der ganzen Welt dramatisch ansteigen, werden sich einige Menschen unweigerlich der Cyber-Kriminalität zuwenden, wie es typischerweise in Phasen wirtschaftlichen Abschwungs geschieht. Da ein größerer Teil der Arbeitskräfte jetzt von zu Hause arbeitet, ist eine Zunahme von Angreifern zu erwarten, die auf Heimrouter und andere IoT-Geräte (Internet of Things) abzielen, um Heimnetzwerke zu kompromittieren.
Diese Geräte werden bereits häufig ins Visier genommen, zumal 98 Prozent des gesamten Datenverkehrs mit IoT-Geräten unverschlüsselt sind. Persönliche und vertrauliche Daten im Netzwerk sind somit offengelegt. Angreifer haben die Möglichkeit, den unverschlüsselten Netzwerkverkehr abzuhören und persönliche oder vertrauliche Informationen zu sammeln. Ein sehr wahrscheinliches Szenario für Angreifer wäre, ihren Fokus auf Heim-Router zu verlagern, um Cryptomining durchzuführen oder DDoS-Angriffe zu starten, wie sie es in der Vergangenheit getan haben.
Palo Alto Networks hat Tipps für Unternehmen zusammengestellt, um während dieser Zeit sicher zu bleiben:
- Führen Sie eine Best Practice-Bewertung durch, um zu ermitteln, wo Ihre Konfiguration geändert werden könnte, um Ihre Sicherheitslage zu verbessern.
- Nutzen Sie PAN-DB URL-Filtering, um „Neu registrierte Domains“ zu blockieren, die Domains enthalten, die in den letzten 32 Tagen registriert wurden.
- Wenn Sie den Zugriff auf die Kategorie „Neu registrierte Domains“ nicht blockieren können, ist es empfehlenswert, die SSL-Entschlüsselung für diese URLs durchzusetzen. Dies dient dazu, um die Sichtbarkeit zu erhöhen und Benutzer daran zu hindern, riskante Dateitypen wie PowerShells und ausführbare Dateien herunterzuladen.
- Sie können auch eine viel strengere Richtlinie zur Bedrohungsabwehr anwenden und die Protokollierung beim Zugriff auf neu registrierte Domains erhöhen. Zu empfehlen ist auch ein Schutz auf DNS-Ebene, da bekannt ist, dass über 80 Prozent der Malware DNS zur Einrichtung von C2-Kanälen (Command & Control) verwenden.
- E-Commerce-Plattformen und Online-Händler können Risiken mindern, indem sie alle ihre Systeme, Komponenten und Web-Plugins patchen, um eine Gefährdung zu vermeiden.
Führen Sie regelmäßig Offline-Überprüfungen der Integrität von Webinhalten durch, um festzustellen, ob Ihre Seiten bearbeitet wurden und böswilliger JavaScript-Code von Angreifern eingefügt wurde. - Stellen Sie sicher, dass Sie starke Passwörter für die Administratoren Ihres Content-Management-Systems (CMS) verwenden, um es weniger anfällig für Brute-Force-Angriffe zu machen. (rhh)