Palo Alto Networks: COVID-19 - Der Cybercrime-Goldrausch von 2020

22. Juli 2020 - Wenn Sie mir zu Beginn des Jahres 2020 gesagt hätten, dass wir zum ersten Mal in der Geschichte der Cybersicherheit jede Branche und jeden Gerätetyp auf der ganzen Welt sehen würden, die von Angriffen betroffen sind, die auf einem einzigen Thema aufbauen, hätte ich Ihnen nicht geglaubt. Wenn Sie mir gesagt hätten, dass dieses Thema von der Ausnutzung einer globalen Pandemie abhängen würde und Angreifer sogar medizinische Forscher an vorderster Front angreifen würden, um diese Krankheit zu stoppen, hätte ich das auch nicht geglaubt. Doch hier sind wir, und unsere Realität beinhaltet tatsächlich einen Goldrausch der Cyberkriminalität, der darauf abzielt, COVID-19 auszunutzen.

Erst letzte Woche haben das britische National Cyber Security Centre, das kanadische Kommunikationssicherheitsinstitut und die nationale Sicherheitsbehörde der Vereinigten Staaten ein gemeinsames Gutachten herausgegeben, in dem dargelegt wird, wie Cosy Bear (APT29) von der russischen Regierung eingesetzt wurde, um Organisationen anzusprechen, die an der Entwicklung von COVID-19-Impfstoffen beteiligt sind. 

Unit 42 von Palo Alto Networks - Omicron AG

 

Die Forscher des Unit 42 Threat Intelligence-Teams von Palo Alto Networks verfolgen eine Vielzahl von Cyber-Angriffen zum Thema COVID-19, die in den letzten Monaten weltweit aufgetreten sind. Seit Anfang dieses Jahres haben wir mehr als 40.000 neu registrierte Websites unter Verwendung eines Coronavirus-bezogenen Namens identifiziert, den wir aufgrund von Betrug und Malware, welche auf ahnungslose Verbraucher abzielt, als Websites mit hohem Risiko zu klassifizieren.

Die globalen Auswirkungen der COVID-19-Pandemie in Verbindung mit dem mangelnden Vertrauen in die Regierung und die Medien als verlässliche Informationsquellen haben letztendlich einen perfekten Sturm für Cyberkriminelle geschaffen, um grösstmöglichen Erfolg zu haben. Die Menschen suchen ständig nach neuen Quellen für Lieferungen und Informationen, und Cyberkriminelle nutzen hierbei genau diese Gelegenheit aus.

Was wir gefunden haben:

  • Betrugsseiten, die Artikel wie Gesichtsmasken und Händedesinfektionsmittel zu niedrigen Preisen anbieten.
  • Gefälschte COVID-19-E-Books, die neue "Tipps" zur Sicherheit versprechen. Tatsächlich liefern diese Websites nach Abschluss des Kaufs kein Produkt und stehlen stattdessen nur das Geld sowie alle auf die Website hochgeladenen persönlichen und finanziellen Informationen.
  • Beweise, die darauf hindeuten, dass Cyberkriminelle auch ausfallsichere Websites erstellen, die derzeit inaktiv sind und darauf warten, schnell hochgefahren zu werden, wenn eine andere ihrer Betrugsseiten entfernt wird.
  • Cyberkriminelle, die Cloud-Dienstanbieter (wie Amazon, Google, Microsoft und Alibaba) zum Hosten einiger dieser schädlichen Websites verwenden, da es bei Missbrauch aus der Cloud einfacher sein kann, sich der Erkennung zu entziehen, indem die Ressourcen eines Cloud-Anbieters missbraucht werden. (Dank der strengen Überprüfungs- und Überwachungsprozesse, die von diesen Cloud-Anbietern angewendet werden, und wahrscheinlich aufgrund der höheren Kosten bei deren Verwendung, war es bisher relativ selten, dass böswillige Akteure bösartige Domänen in öffentlichen Clouds hosten.)


Wir haben auch eine Vielzahl von Cyber-Bedrohungen weltweit aufgedeckt und blockiert, die sich rücksichtslos gegen staatliche Gesundheitsbehörden, lokale und regionale Regierungen und grosse Universitäten richten, die sich mit den kritischen Reaktionsbemühungen der COVID-19-Pandemie befassen. Betroffene Regionen sind die USA, Kanada, Deutschland, die Türkei, Korea und Japan.

Es ist zwar nicht verwunderlich, dass Cyberkriminelle diese Gelegenheit nutzen, um die Pandemie zu ihrem persönlichen Vorteil auszunutzen, aber es ist klar, dass die Kriminellen, die von Cyberkriminalität profitieren, in irgendeiner Weise erfolgreich sein werden und auf lange Sicht es bleiben.

Wir überwachen und schützen vor diesen Bedrohungen weiterhin, aber es ist wichtig zu beachten, dass diese Verhaltensänderungen deutlich machen, dass Cyberkriminelle Zeit und Ressourcen investieren, um ihre Angriffe zu verstärken.

Vorausschauend

Da die COVID-19-Fälle in bestimmten Ländern weiter zunehmen und eine zweite Welle des Virus voraussichtlich noch in diesem Jahr auftreten wird, werden sich die Themen von Angreifern im Zusammenhang mit Nachrichten über die Pandemie weiterentwickeln. Zum Beispiel haben wir gegen Ende Juni böswillige E-Mails mit dem Betreff "Lieferantengesichtsmaske/Stirnthermometer" und "Medizinische Maske, Schutzbrille und Temperaturpistole liefern" aufgenommen. Dies sind beides Themen, die eher mit der Vorbereitung auf die Rückkehr in den Alltag zu tun haben, als weiterhin zu Hause zu bleiben. Ich gehe davon aus, dass sich dieser Trend basierend auf den Nachrichten und Geschäftsprioritäten, weiter fortsetzen wird.

Darüber hinaus gehen wir davon aus, dass die USA wahrscheinlich stärker von Angreifern belästigt werden als Länder, in denen COVID-19 nicht mehr die gleichen Auswirkungen auf das tägliche Leben hat (z.B. Neuseeland).

Wir erwarten auch einen Anstieg der Internetkriminalität, wenn diverse Volkswirtschaften in eine Rezession geraten. Angesichts der dramatisch wachsenden Arbeitslosenzahlen auf der ganzen Welt werden sich einige Menschen unweigerlich der Internetkriminalität zuwenden, wie dies normalerweise bei wirtschaftlichen Abschwüngen auch der Fall ist.

Angesichts der Tatsache, dass mehr Mitarbeiter von zu Hause aus arbeiten, erwarten wir eine Zunahme von Angreifern, die auf Heimrouter und andere IoT-Geräte (Internet of Things) abzielen, um Heimnetzwerke zu gefährden.

Diese Geräte werden bereits häufig als Ziel ausgewählt, insbesondere da 98% des gesamten IoT-Geräteverkehrs unverschlüsselt sind, wodurch persönliche und vertrauliche Daten im Netzwerk offengelegt werden und Angreifer die Möglichkeit erhalten, unverschlüsselten Netzwerkverkehr abzuhören und persönliche oder vertrauliche Informationen zu sammeln. Obwohl wir nicht über die Daten verfügen, um zu zeigen, dass dies derzeit geschieht, besteht ein sehr wahrscheinliches Szenario für den nächsten Schritt der Angreifer darin, den Fokus auf Heimrouter zu verlagern. Wenn mehr Mitarbeiter von zu Hause aus arbeiten und nicht mehr durch ein Unternehmenssicherheitstool und eine Unternehmensfirewall geschützt sind, versuchen Angreifer möglicherweise, vertrauliche Unternehmensdaten zu stehlen, auf die sie normalerweise nicht so einfach zugreifen könnten. Verbraucher sollten sicherstellen, dass ihr physischer Router nicht das mit dem Router gelieferte Standardkennwort verwendet (häufig nur "Admin"). Sie sollten diese Geräte auch auf die neueste Firmware-Version aktualisieren. Zu oft erstellen Verbraucher ein Kennwort nur für ihr drahtloses Netzwerk und erkennen nicht, dass das physische Gerät auch ein eindeutiges Kennwort haben sollte.

Hier sind einige Empfehlungen und Tipps für Verbraucher und Unternehmen:

Für Verbraucher:

  • Seien Sie vorsichtig bei Websites, die Angebote für COVID-19-Produkte wie Gesichtsmasken und Händedesinfektionsmittel anbieten, die zu gut sind, um wahr zu sein.
  • Behandeln Sie alle E-Mails und Websites, die angeblich Informationen über COVID-19 enthalten, als verdächtig.
  • Um sicherzustellen, dass Sie nicht Opfer eines Phishing-Angriffs sind, überprüfen Sie immer die drei Hauptindikatoren in Ihrem Browser: korrekter Domain-Name, Vorhandensein des Vorhängeschlosses und gültiger Zertifikatsbesitz.
  • Wenn Sie glauben, dass Ihre Kreditkarteninformationen infolge eines kürzlich getätigten Online-Kaufs gestohlen wurden, sollten Sie sich an Ihre Bank wenden, um Ihre Karte sofort zu sperren oder zu ändern.
  • Erwägen Sie, Ihr Guthaben einzufrieren, damit mit Ihren persönlichen Daten keine neuen Konten eröffnet werden können.
  • Stellen Sie sicher, dass Ihr Heimrouter zusätzlich zu Ihrem WLAN-Passwort ein physisches Passwort hat. Wenn Sie nicht wissen, wie das geht, besuchen Sie die Website Ihres Geräteherstellers, um schrittweise Anweisungen zu erhalten.


Für Unternehmen:

  • Führen Sie eine Best-Practice-Bewertung durch, um festzustellen, wo Ihre Konfiguration geändert werden könnte, um Ihre Sicherheitslage zu verbessern.
  • Verwenden Sie die PAN-DB-URL-Filterung, um "Neu registrierte Domänen" zu blockieren, die Domänen enthalten, die in den letzten 32 Tagen registriert wurden.
  • Wenn Sie den Zugriff auf die Kategorie "Neu registrierte Domänen" nicht blockieren können, empfehlen wir, die SSL-Entschlüsselung dieser URLs zu erzwingen, um die Sichtbarkeit zu erhöhen, und Benutzer daran zu hindern, riskante Dateitypen wie PowerShells und ausführbare Dateien herunterzuladen.
  • Sie können auch eine viel strengere Richtlinie zur Verhinderung von Bedrohungen anwenden und die Protokollierung erhöhen, wenn Sie auf neu registrierte Domänen zugreifen. Wir empfehlen auch den Schutz auf DNS-Ebene, da wir wissen, dass über 80% der Malware DNS verwendet, um C2 (Command and Control Mechanismen) einzurichten.
  • E-Commerce- und Online-Händler können Risiken mindern, indem sie alle ihre Systeme, Komponenten und Web-Plugins patchen, um Kompromisse zu vermeiden.
  • Führen Sie regelmässig offline Integritätsprüfungen für Webinhalte durch, um festzustellen, ob Ihre Seiten bearbeitet wurden und von Angreifern schädlicher JavaScript-Code eingefügt wurde.
  • Stellen Sie sicher, dass Sie sichere Passwörter für Ihre CMS-Administratoren (Content Management System) verwenden, um die Anfälligkeit für Brute-Force-Angriffe zu verringern.


Textquelle: Palo Alto Networks, Ryan Olson.

 

Selbstverständlich stehen wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner in der Schweiz, gerne bei Fragen oder bei benötigter Hilfe in Ihrem Unternehmen zur Seite.

 

Übrigens: Brennpunkt Endpunkt - Cortex XDR Webinar am 15. Oktober 2020

Unsere Spezialisten zeigen Ihnen während unserem 60-minütigen Webinar, wie der Ansatz von Cortex XDR funktioniert und wie Sie dadurch besser auf Angriffe reagieren können. In einer Live-Demo erfahren Sie zudem, wie Cyberangriffe frühzeitig erkannt und eingedämmt werden können. Ausserdem findet während des Live-Webinars via Chatfunktion ein Q&A statt.

Jetzt für das kostenlose Webinar am 15. Oktober 2020 um 10.30 Uhr anmelden!