In den vergangenen Tagen wurden zahllose Hinweise – zumeist Warnung – mit Bezug die Bedrohung der IT-Sicherheit als Folge der Corona-Situation veröffentlicht. Oftmals blieben diese Hinweise jedoch im Bereich der Spekulationen oder waren häufig recht vage.
Wie bei anderen spektakulären Ereignissen nutzen die Angreifer die hohe Aufmerksamkeit, um die Opfer dazu zu verleiten, Anhänge schädlicher E-Mails zu öffnen und auf Phishing-Links zu klicken. Es handelt sich dabei nicht um einen einzelnen Angriff oder eine einzelne Kampagne, sondern um eine weit verbreitete Nutzung von Themen, die mit Viren zu tun haben. Unit 42 hat bereits einige bösartige E-Mails mit „COVID-19“ und verwandten Schlüsselwörtern im Betreff identifiziert. Die Mails können auch Remote-Administration-Tools wie NetWire, NanoCore und LokiBot sowie andere Malware enthalten.
Einige der Betreffzeilen lauten:
- CORONAVIRUS (COVID-19) UPDATE // BUSINESS CONTINUITY PLAN ANNOUNCEMENT STARTING MARCH 2020.
- Latest corona-virus updates
- UNICEF COVID-19 TIPS APP
- POEA HEALTH ADVISORY re-2020 Novel Corona Virus.
- WARNING! CORONA VIRUS
Die Namen der Dateianhänge umfassen beispielsweise:
- AWARENESS NOTICE ON CORONAVIRUS COVID-19 DOCUMENT_pdf.exe
- Coronavirus COVID-19 upadte.xlsx
- CORONA VIRUS1.uue
- CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm
- covid19.ZIP
Keine dieser Listen ist vollständig, und es werden schnell neue Varianten zu diesen Themen auftauchen. Dies wird sich voraussichtlich in den kommenden Wochen und Monaten fortsetzen, da sich die Themen mit den Schlagzeilen weiterentwickeln und die Angreifer sich daran anpassen werden. Gleichzeitig gibt es dieselben Angriffe mit gängigen Themen im Zusammenhang mit Steuererklärungen, Rechnungen und Versandaufträgen.
Gefälschte Apps
Während die Menschen Informationen über COVID-19 suchen, wie es sich auf sie auswirkt und wie sie sich in Sicherheit bringen können, greifen viele auf ihr Smartphone zurück. Es wurden bereits mehrere Fälle von schädlicher Android-Apps gemeldet, die Informationen über das Virus anbieten. Diese Apps ermöglichen es Angreifern, die Nutzer über deren eigenen Geräte auszuspionieren oder deren Gerät mittels Ransomware zu verschlüsseln und Lösegeld zu verlangen.
Wie immer sollten Android-Benutzer keine Apps aus nicht vertrauenswürdigen Quellen installieren und iPhone-Benutzer sollten kein Jailbreaking ihrer Geräte durchführen und Apps aus Quellen von Drittanbietern installieren.
Domainnamen mit COVID-19-Bezug
In den letzten Wochen wurden Tausende (tatsächlich über 100.000) von Domains registriert, die Begriffe wie „covid“, „virus“ und „corona“ enthalten. Nicht alle sind gefährlich, aber alle sollten als verdächtig behandelt werden. Ob die Akteure hinter den Websites nun behaupten, sie hätten Informationen, ein Test-Kit oder ein Heilmittel: Die Tatsache, dass die Website noch nicht existierte, bis die Pandemie in die Schlagzeilen kam, sollte die Nutzer sehr skeptisch machen, was die Seriosität betrifft.
Festzuhalten bleibt nach Meinung von Palo Alto Networks für den Moment: Die grösste Chance für Cyberangreifer derzeit hat nichts mit Technologie zu tun, sondern damit, wie Menschen ihr Verhalten am PC, Tablet oder Smartphone als Reaktion auf die Krise ändern.