Cyberangriffe werden in Zeiten von COVID immer gezielter

Cyberkriminelle sind eine opportunistische Bande. Sie sind ständig auf der Suche nach neuen und schändlicheren Wegen, um Schwachstellen in der Unternehmenssicherheit auszunutzen. Während COVID-19 immer weiter voranschreitet und neue Wellen der Angst und Verwirrung auslöst, fischen böse Akteure in diesen unruhigen Gewässern.

In den letzten Monaten haben Ransomware, Zahlungsbetrug, Unternehmensspionage, Diebstahl von geistigem Eigentum und Desinformationskampagnen stark zugenommen. [1] Diese Angriffe kommen von zwei Seiten: Cyberkriminelle verschicken sehr gezielte E-Mails, die die Verwirrung im Zusammenhang mit der Pandemie ausnutzen, während sie gleichzeitig neue Schwachstellen in der Infrastruktur ausnutzen, die durch den jüngsten Ansturm auf die Telearbeit entstanden sind. [2]

COVID, Remote-Arbeit und die Einführung der Cloud haben die Schwachstellen vergrößert

"E-Mail und Clouds sind zwar das Lebenselixier von Remote-Mitarbeitern, aber sie erweitern auch den Begriff des Unternehmensrisikos", bemerkt Thom Bailey, Leiter des globalen Produktmarketings bei Mimecast. Die verstärkte Nutzung von Clouds aufgrund der Pandemie hat Cyberkriminellen eine größere Angriffsfläche geboten. Hinzu kommt, dass der plötzliche Zustrom von Infrastrukturänderungen den Druck auf die Unternehmens-IT erhöht und das Risiko von Netzwerkfehlkonfigurationen vergrößert hat.

Die Folgen sind erheblich. Im dritten Quartal 2020 hat Mimecast festgestellt, dass die Verwendung bösartiger URLs um fast 60 % gestiegen ist; die Zahl der Malware-Instanzen ist um 36 % in die Höhe geschnellt; die Angriffe durch Nachahmung sind um 30 % gestiegen und Spam hat um 26 % zugenommen, wobei die überwiegende Mehrheit dieser Angriffe per E-Mail erfolgt. [3]

Obwohl Remote-Arbeit und die Verlagerung in die Cloud nichts Neues sind, berichtete Mimecast im Oktober 2020 Global Cyber Threat Intelligence Quarterly Briefing , dass 40 % der Unternehmen in Nordamerika und EMEA ihre Cloud-Migrationsinitiativen als Reaktion auf die Pandemie beschleunigt haben. Darüber hinaus planen 84 % der Unternehmen, ihre COVID-bezogenen Initiativen zur Arbeit von zu Hause aus auch nach dem Ende der Pandemie fortzusetzen.

In diesem Bewusstsein haben sich bösartige Akteure darauf konzentriert, die Telearbeitsinfrastruktur von Unternehmen auszunutzen, einschließlich bekannter Schwachstellen in VPNs und im Remote Desktop Protocol (RDP) von Microsoft. [4] Sie haben es auch auf das schwächste Glied in dieser Kette abgesehen: die Benutzer.

"Menschen, die von zu Hause aus arbeiten, können abgelenkt sein", sagt Bailey, "und sie nehmen manchmal Abstriche bei der Cybersicherheit. So kann es für sie einfacher sein, ihre arbeitsbezogenen E-Mails von der Küche aus mit ihrem persönlichen iPad zu überprüfen, anstatt nach oben in ihr Heimbüro zu gehen, um sie auf ihrem vom Unternehmen zur Verfügung gestellten Laptop zu lesen.

Dies machen sich die Angreifer zunutze, indem sie vermehrt auf gemischte Bedrohungen zurückgreifen. Während E-Mail in der Regel der Ausgangspunkt für diese Angriffe ist, nutzen sie vertraute Ressourcen wie LinkedIn, Dropbox, Word und Google Docs, um versteckte Schnipsel von bösartigem Code zu verbreiten.

Schlechte Schauspieler, die von Angst, Unsicherheit und Chaos leben

Böswillige Akteure setzen auf Techniken, die die Aufmerksamkeit ihrer Zielpersonen auf sich ziehen und deren Ängste vor COVID und damit verbundenen politischen Ereignissen ausnutzen.

Die aktuelle geopolitische Landschaft bietet Cyberkriminellen eine Vielzahl von Möglichkeiten", erklärt Philip Hay, Leiter der TI-Analyse bei Mimecast. "Dazu gehören COVID, die US-Präsidentschaftswahlen, der Brexit, wirtschaftliche Fragen, Änderungen in der Regierungspolitik und vieles mehr. Dies schafft Unsicherheit, die Bedrohungsakteure ausnutzen wollen."

So gab eine bösartige E-Mail vor kurzem vor, wertvolle Insider-Informationen über den Zustand von Präsident Trump zu liefern, nachdem dieser mit dem Coronavirus infiziert worden war. Ein Link führte zu einer Google Docs-Seite, die einen zweiten Link zum Herunterladen einer Java-Datei enthielt. In diese Datei war ein Emotet Trojaner eingebettet, der nach dem Herunterladen nach Passwörtern suchte, die im Webbrowser der Zielperson gespeichert waren. Außerdem wurde eine weitere Malware heruntergeladen, die nach Bankdaten sucht.

Impersonation und COVID-bezogene Phishing-Angriffe

Andere COVID-bezogene Phishing-Angriffe beruhen auf der Imitation von Personen. Sie versuchen, den Anschein zu erwecken, als stamme die E-Mail von einem Mitglied des Microsoft-Teams, einer Gesundheitsbehörde oder sogar vom CEO des Unternehmens des anvisierten Opfers. [5] Sie können auch Betreffzeilen verwenden, die die Neugierde des Empfängers ausnutzen. Hier sind einige aktuelle Beispiele:

• Mitteilung der Zentren für Krankheitskontrolle und Prävention
• Coronavirus (2019 nCoV) Sicherheitsmaßnahmen der Weltgesundheitsorganisation
• Wichtige Änderungen der Unternehmenspolitik in Bezug auf COVID-19
• Klicken Sie hier für Informationen zum Coronavirus
• COVID 19 Vorbereitungsleitfaden
• Covid-19 in Ihrer Region? Bitte bestätigen Sie Ihre Angaben
• COVID-19 Virus Tracker

"Da diese Nachrichten scheinbar von jemandem stammen, den die Zielperson kennt, oder von einer anderen vertrauenswürdigen Quelle, erhöht sich die Wahrscheinlichkeit, dass der Angriff funktioniert", erklärt Kiri Addison, Head of Data Science bei Mimecast. Um das Opfer unter Druck zu setzen, schnell zu reagieren, fügte sie hinzu, dass einige E-Mails eine dringende arbeitsbezogene Anfrage enthalten und am späten Freitagabend, kurz vor Beginn des Wochenendes, eintreffen.

Um sich besser gegen diese Angriffe zu schützen, schlägt Addison vor, dass Unternehmen zunächst die derzeit eingesetzten Cybersicherheits-Tools, -Richtlinien und -Schutzmaßnahmen überprüfen und eine detaillierte Lückenanalyse durchführen. Zu den weiteren Schutzmaßnahmen gehören die Verwendung von mehrschichtiger Sicherheitssoftware, die regelmäßige Aktualisierung der Systeme mit den neuesten Sicherheits-Patches, die unternehmensweite Verwendung einer Multi-Faktor-Authentifizierung, die Durchführung regelmäßiger Backups, die Aufstellung eines klaren und definitiven Reaktionsplans sowie die laufende Ausbildung und Schulung der Mitarbeiter . Dieser letzte Schritt ist vielleicht der wichtigste, sagt sie, "denn wenn die Mitarbeiter erst einmal über Phishing-E-Mails Bescheid wissen, klicken sie nicht mehr darauf".

Die Quintessenz

Cyberkriminelle nutzen COVID-19, die plötzliche Zunahme der Heimarbeit und aktuelle politische Ereignisse, um ihre Opfer dazu zu verleiten, auf E-Mail-Links zu klicken, über die Emotet und andere Malware heruntergeladen werden. Dies erfordert eine größere Bereitschaft der Unternehmen, einschließlich Reaktionsplänen, Softwareschutz und Schulungen zum Thema Cybersicherheit.

[1] " COVID-19 Exploited by Malicious Cyber Actors ," Cybersecurity and infrastructure Security Agency, UK.

[2] " Threat Intelligence Briefing: Pandemie-Fallout belastet Cybersicherheit und Widerstandsfähigkeit ," Mimecast.

[3] " Global Cyber Threat Intelligence Quarterly Briefing - October 27, 2020 ," Mimecast.

[4] " COVID-19 Exploited by Malicious Cyber Actors ," Cybersecurity and infrastructure Security Agency, UK.

[5] " Phishing-Kampagnen imitieren Microsoft Teams, HHS COVID-19 Vaccine Tracker ," Health IT Security.