COVID-19: Cyberangriffe auf Regierungen und medizinische Organisationen

Neue Erkenntnisse von Palo Alto Networks / Cyberkriminelle greifen Pandemie-bezogenen Phishing-Kampagnen an

[datensicherheit.de, 14.04.2020] Die Annahme seitens verschiedener Quellen, dass einige Bedrohungsaktivitäten von Cyberangreifern während der COVID-19-Pandemie nachlassen könnten, hat sich als falsch erwiesen. Unit 42, die Forschungsabteilung von Palo Alto Networks, hat insbesondere im Bereich der Phishing-Angriffe, genau das Gegenteil beobachtet. In einem aktuellen Blogpost liefert die Forschungsabteilung ein gründliches Bild und eine solide technische Analyse der verschiedenen Arten von COVID-19-Themen, mit denen Organisationen während der laufenden Pandemie konfrontiert sein können.

Ransomeware-Angriffe auf Gesundheitsorganisationen in Kanda

Insbesondere befassen sich die Forscher mit einer Ransomware-Variante (EDA2), die bei Angriffen auf eine Gesundheitsorganisation der kanadischen Regierung und eine medizinische Forschungsuniversität in Kanada beobachtet wurde. Behandelt wird zudem eine Infostealer-Variante (AgentTesla), die bei Angriffen auf verschiedene andere Ziele beobachtet wurde: darunter eine Forschungseinrichtung des US-Verteidigungsministeriums, eine türkische Regierungsbehörde, die öffentliche Aufträge verwaltet, mehrere große Technologie- und Kommunikationsunternehmen mit Sitz in Kanada, Deutschland und England sowie medizinische Organisationen/ Forschungseinrichtungen in Japan und Kanada. Keines der in diesem Blog erwähnten Malware-Samples konnte ihre beabsichtigten Ziele erreichen.

E-Mails mit bösartigen Phishing-Locker im Rich Text Format

Zwischen dem 24. März 2020, 18:25 UTC, und dem 26. März, 11:54 UTC, beobachtete Unit 42 mehrere bösartige E-Mails, die von der gefälschten Adresse noreply@who[.]int (die Absender-IP-Adresse zum Zeitpunkt des Angriffs war 176.223.133[.]91) gesendet wurden. Die Adressaten waren mehrere Personen bei einer Gesundheitsorganisation und einer Universität in Kanada, die COVID-19-Maßnahmen planen bzw. -Forschung betreiben. Die E-Mails enthielten alle einen bösartigen Phishing-Locker im Rich Text Format (RTF). Wenn dieser mit einer anfälligen Anwendung geöffnet wurde, versuchten die Angreifer, eine Ransomware-Nutzlast über eine bekannte Sicherheitslücke in einer Microsoft-Komponente, CVE-2012-01, auszuliefern.

Bedrohungstrends dürften sich fortsetzen

Ziel von Unit 42 ist es nach eigenen Angaben, ein tieferes Verständnis für einige der Arten von cyberkriminellen Kampagnen zu vermitteln, mit denen mehrere kritische Branchen konfrontiert sind, die sich mit den dringenden Reaktionsbemühungen für die COVID-19-Pandemie befassen. Aus diesen Fällen wird deutlich, dass die Angreifer bevorzugt Organisationen ins Visier nehmen, die an vorderster Front engagiert sind, um auf die Pandemie zu reagieren. Die Forscher beobachten zudem weitere Cyberbedrohungen mit COVID-19-Themen – und dieser Trend dürfte sich in den kommenden Wochen fortsetzen.

Weitere Informationen zum Thema:

Palo Alto Networks / Unit 42
Malicious Attackers Target Government and Medical Organizations With COVID-19 Themed Phishing Campaigns

datensicherheit.de, 14.04.2020
Fünf unterschätzte Punkte beim Kampf gegen immer raffiniertere Cyber-Attacken 

datensicherheit.de, 01.04.2020
Hacker nutzen COVID-19-Krise: Smartphone-Nutzer oftmals das Ziel

datensicherheit.de, 31.03.2020
Vermeidung von Enpässen im Netz – Appell zu digitaler Besonnenheit

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 23.03.2020
Home-Office: TeleTrusT veröffentlicht Liste kostenfreier IT-Sicherheitslösungen

datensicherheit.de, 20.03.2020
digitronic stellt Gratis-Lizenzen für die sichere Arbeit im Home-Office bereit

datensicherheit.de, 20.03.2020
COVID-19: Kriminelle Verkäufer gewähren Rabatte auf Malware