Cyberattacken sehen grundlegende Veränderungen, ein Jahr nach COVID-19

Cyber Security News

Ein Jahr nachdem COVID-19 offiziell als Pandemie eingestuft wurde, haben sich die Methoden und Taktiken der Cyberkriminellen drastisch verändert.

COVID-19-bezogene Phishing-E-Mails, Brute-Force-Angriffe auf Remote-Mitarbeiter und ein Fokus auf die Ausnutzung oder den Missbrauch von Kollaborationsplattformen sind die Markenzeichen cyberkrimineller Unternehmungen, während das Coronavirus seinen ersten Jahrestag der globalen Verbreitung markiert.

Ein Jahr, nachdem die COVID-19-Krise offiziell als Pandemie eingestuft wurde, hat sich die Art und Weise, wie Menschen leben und arbeiten, radikal verändert – und damit auch “die Methoden und Taktiken von Kriminellen im Internet, die versuchen, den massiven Anstieg des Online-Verkehrs auszunutzen”, so ein Bericht von Kaspersky, der am Montag veröffentlicht wurde.

Phishing-Betrügereien nutzen COVID-19-Themen aus

E-Mail-Betrug (und insbesondere Phishing) ist laut Kaspersky immer noch eine der effektivsten Angriffsarten in der Ära der Coronaviren, da Angst und Furcht zwei der am meisten ausgenutzten Emotionen für diese Art von Social-Engineering-Angriffen sind.

Kampagnen wie die, die vorgaben, N95-Masken oder Handdesinfektionsmittel anzubieten (die die Leute aufforderten, ihre Zahlungsdaten einzugeben), wurden im Laufe des Jahres endemisch. Sich als COVID-19-Behörde auszugeben, war ebenfalls eine beliebte Masche, bei der Cyberkriminelle “wichtige” Updates anboten. In Wirklichkeit boten sie aber nur Malware an.

“Im Jahr 2020 starteten Kriminelle eine Vielzahl von Betrügereien, die das Pandemie-Thema aus nahezu jedem Blickwinkel ausnutzten, von Anzeigen zu Masken, wenn sie knapp waren, bis hin zu speziellen Rückerstattungen von der Regierung”, heißt es in dem Bericht. “Die Betrüger imitierten oft führende Autoritätspersonen zur Pandemie, wie die CDC und die Weltgesundheitsorganisation, um ihren E-Mails zusätzliche Autorität zu verleihen – und die Wahrscheinlichkeit zu erhöhen, dass Nutzer auf einen bösartigen Link klicken.”

Cyberkriminelle nutzten auch Köder mit verzögerten Sendungen – und machten sich die Tatsache zunutze, dass Bestellungen per Post während der Sperrungen in die Höhe schossen. Laut Kaspersky gehören Zustelldienste im Jahr 2020 zu den zehn meistgespooften Organisationen für diese Art von Angriffen.

“Sie verschickten E-Mails, in denen behauptet wurde, dass sich eine wichtige Lieferung aufgrund von COVID verzögert habe und dass das Ziel die neuen Lieferinformationen bestätigen müsse (was inmitten einer Pandemie leicht zu glauben ist), um sie zu erhalten”, heißt es in dem Bericht. “Beim Anklicken des Anhangs würden die Benutzer jedoch Trojaner herunterladen, die von Spyware bis zu Backdoors reichen.”

Brute-Force-Angriffe auf Remote-Mitarbeiter

Als im Jahr 2020 Millionen von Angestellten nach Hause geschickt wurden, um per Fernzugriff zu arbeiten, waren Cybersecurity-Maßnahmen für viele Unternehmen ein nachträglicher Gedanke. Cyberkriminelle, die dies vermuteten, nahmen Mitarbeiter ins Visier, die sich von persönlichen Geräten und über ungesicherte Heimnetzwerke in Unternehmensressourcen einloggten, so die Analyse.[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/03/15140509/Covid-Brute-Force-Attacks-300x219.png]

Insbesondere Brute-Force-Angriffe (bei denen Angreifer zufällige Benutzernamen und Passwörter gegen Konten ausprobieren) auf Remote-Desktop-Protokoll (RDP)-Verbindungen nahmen weltweit zu und stiegen um 197 Prozent von 93,1 Millionen im Februar auf 277,4 Millionen im März. RDP ist das proprietäre Protokoll von Microsoft, mit dem Benutzer auf Windows-Arbeitsstationen oder -Server zugreifen können.

“RDP ist eines der beliebtesten Remote-Access-Protokolle in Unternehmen und damit ein beliebtes Ziel für Angreifer”, heißt es in dem Bericht. “Im Frühjahr 2020 ist die Zahl der Brute-Force-Angriffe gegen das RDP-Protokoll fast weltweit in die Höhe geschnellt.”

Ein Jahr später hat die Zahl der Angriffe noch nicht wieder das Niveau von vor der Pandemie erreicht, so Kaspersky: Im Februar gab es 377,5 Millionen Brute-Force-Angriffe.

Cyberattacken auf Kollaborationsplattformen nehmen zu

Cyberangreifer haben es auch auf Nutzer verschiedener Cloud-Dienste abgesehen, insbesondere auf Collaboration-Dienste wie Flock, GotoMeeting, HighFive, Join.me, Lifesize, MS Teams, Slack, Webex und Zoom. Kaspersky fand heraus, dass die durchschnittliche tägliche Anzahl der Angriffe auf diese Dienste in der Telemetrie von Kaspersky allein seit Februar 2020 um 25 Prozent angestiegen ist.

Auch diese haben nicht wirklich nachgelassen.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/03/15140609/Covid-collaboration-attacks-300x223.png]

Kollaborationsangriffe im vergangenen Jahr. Zum Vergrößern anklicken. Quelle: Kaspersky.

“Nachdem die Zahl der Web-Attacken im Sommer 2020 einen Rückgang gezeigt hatte, erreichte sie im Dezember einen neuen Höhepunkt, als ein Großteil der Welt mit einer zweiten Welle der Pandemie konfrontiert war”, so Kaspersky. “Ein großer Teil der Zeit, die Nutzer online verbringen, wurde für Meetings und virtuelle Zusammenarbeit genutzt. Aus diesem Grund wurden Meeting- und Messenger-Apps wie Zoom und Teams zu einem beliebten Köder für die Verbreitung von Cyberbedrohungen.”

Bei den meisten dieser Angriffe werden bösartige Dateien unter dem Deckmantel dieser Apps verbreitet. Kaspersky fand heraus, dass im Januar 1,15 Millionen solcher Dateien entdeckt wurden – die höchste Zahl seit Beginn der Sperrung.

“Diese Dateien werden oft als Teil von scheinbar legitimen Anwendungsinstallationsprogrammen gebündelt, auf die man auf verschiedene Weise stoßen kann: Durch Phishing-E-Mails, die vorgeben, Benachrichtigungen oder spezielle Angebote von ihren Plattformen zu haben, oder durch Phishing-Webseiten”, heißt es in dem Bericht.

Wie geht es weiter mit den COVID-19-Cyberangriffen?

Da die Pandemie in eine neue Phase eintritt, in der es um Impfungen geht, gibt es auch neue Themen, die Phisher und Betrüger ausnutzen können, wie etwa Gesundheitspässe für Reisen oder die Verteilung von Impfstoffen, warnte Kaspersky.

“Die Chancen stehen gut, dass sie diese ausnutzen werden”, heißt es in dem Bericht. “Es ist wichtig, dass Benutzer jede E-Mail oder Website, die sich auf die Pandemie bezieht, mit einem skeptischen Auge betrachten. Außerdem haben die jüngsten Ereignisse gezeigt, wie bereitwillig Kriminelle eine Krise ausnutzen, und obwohl diese Pandemie abklingen wird, wird es sicher nicht die letzte Krise sein.”

Der Bericht stellte auch fest, dass die Telearbeit wahrscheinlich auch nach der Pandemie bestehen bleiben wird.

“RDP wird nicht verschwinden – und Angriffe auf das Protokoll auch nicht”, so das Fazit des Berichts. “Das bedeutet, dass Unternehmen ihre Nutzung von RDP neu bewerten und lernen müssen, wie sie den Fernzugriff absichern können. Wenn es jemals einen Zeitpunkt für Unternehmen gegeben hat, ihre Sicherheitsstrategie neu zu bewerten und zu stärken, dann ist dieser Zeitpunkt jetzt.”

Microsofts Untersuchung kommt inmitten von Nachrichten, dass Ransomware-Banden beginnen, die Schwachstellen des Exchange Servers ins Visier zu nehmen, was der Notwendigkeit für Unternehmen, Patches anzuwenden und Hintertüren aus Netzwerken zu desinfizieren, eine neue Dringlichkeit verleiht.

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2020/01/30124654/coronavirus-e1580406427760.jpg]

Einige Teile dieses Artikels stammen aus:
threatpost.com