Cyber-Kriminelle missbrauchen Unsicherheit im Kontext der „Covid-19“-Impfstoffe für ausgefeilte digitale Angriffe

[datensicherheit.de, 15.01.2021] Proofpoint Inc. warnt nach eigenen Angaben „aktuell vor einer Vielzahl verschiedener Cyber-Attacken, die sich die Unsicherheit vieler Menschen rund um das Thema ,Covid-19‘-Impfstoff zunutze machen.“ Dazu sei jetzt ein Blog-Post veröffentlicht worden, welcher diese unterschiedlichen Vorgehensweisen der Kriminellen genauer erläutere.

Abbildung: proofpoint

Screenshot einer maliziösen E-Mail mit einer „Office 365“-Phishing-URL

Egal ob Impfstoff oder sonstiger Aufhänger: E-Mails kritisch betrachten!

Wichtigster Rat an alle Anwender, privat wie auch in Unternehmen, sei: „Größte Vorsicht bei Mails walten lassen, die zur Ein- oder Herausgabe persönlicher Daten oder Login-Informationen auffordern oder Links zu vermeintlichen Login-Seiten von Cloud-Services wie ,Microsoft 365‘ enthalten!“
Proofpoint habe bereits seit dem Beginn der „Pandemie“ beobachten können, dass sich Cyber-Kriminelle Themen rund um die „Covid-19-Pandemie“ als Aufhänger in breit angelegten Social-Engineering-Angriffen zunutze machten, bei denen Malware verbreitet werde oder die Credential-Phishing und BEC-Betrug zum Ziel hätten.

Momentan vermehrt Angriffe, welche Nachrichten zu „Covid-19“-Impfstoffen ausnutzen

Bei den Themen ihrer Cyber-Attacken orientierten sich die Angreifer in der Regel an jenen, „die zum Zeitpunkt der Kampagne im Zentrum der öffentlichen Debatte stehen“. Zunächst sei mit der Existenz des Virus gelockt worden, dann mit Nebenschauplätzen wie Engpässen bei der medizinischen Versorgung.
Wie erwartet, beobachteten die Proofpoint-Forscher in den letzten zwei Monaten vermehrt Angriffe, welche die Nachrichten bezüglich der „Covid-19“-Impfstoffe ausnutzten – wie die Freigabe des Impfstoffes durch die jeweiligen Zulassungsbehörden, die Logistik der Impfstoff-Bereitstellung und die Verteilung des Impfstoffes an Ersthelfer und andere Personen.

Missbrauch bekannter Marken wie z.B. verschiedener Impfstoff-Hersteller

Im aktuellen Blog-Artikel zeigt Proofpoint demnach „Beispiele für E-Mail-Angriffe, die der Verbreitung von Malware dienen bzw. Phishing und BEC zum Ziel haben“. Diese Beispiele beinhalteten Belege für den Missbrauch bekannter Marken und Organisationen wie WHO, DHL und verschiedener Impfstoff-Hersteller, welcher bei den Attacken auf Benutzer in Unternehmen in Deutschland und Österreich, den USA und Kanada habe beobachtet werden können.
Als Köder dienten eine Reihe von Themen, darunter die Befürchtung, einer infizierten Person begegnet zu sein, – ferner staatliche Impfstoff-Zulassungen und der positive Einfluss auf die wirtschaftliche Entwicklung durch die Impfungen sowie Anmeldeformulare für Impfungen, Informations-Updates und die Lieferung des Impfstoffes.

Weitere Informationen zum Thema:

proofpoint, The Proofpoint Threat Research Team, 14.01.2021
Attackers Use COVID-19 Vaccine Lures to Spread Malware, Phishing and BEC

datensicherheit.de, 14.01.2021
Covid-19: Schwarzmarkt für Impfstoffe im Darknet expandiert / Betrugsversuche im Darknet nehmen zu – ebenso Preise und Produktvielfalt bei Impfstoffen

[datensicherheit.de, 14.01.2021] Check Point hat in einer aktuellen Meldung abermals vor Impfstoff-Betrügerei im sogenannten Darknet gewarnt – demnach explodiert der Schwarzmarkt derzeit, „was Angebotsvielfalt und Preise betrifft“. Die Forscher haben nach eigenen Angaben sogar den Feldversuch gewagt.

Betrüger boten angeblich Dosen gängiger Impfstoffe an

Check Point Research, die Forschungsabteilung der Check Point® Software Technologies Ltd., hatte bereits im Dezember 2020 vor Betrügereien im Darknet rund um Impfstoffe gewarnt. Hinter diesen Angeboten versteckten sich gefälschte Medikamente, Angebote und Malware. Daher habe auch die überstaatliche Polizei Europol gewarnt.
Die Betrüger hätten angeblich Dosen gängiger Impfstoffe, wie z.B. solchen von Biontech und Pfizer, angeboten. Als Zahlungsmittel seien Bitcoin gefordert worden, um eine Verfolgung so gut wie unmöglich zu machen: „Damals verlangten sie Preise von etwa 0,01 Bitcoin pro Person, was ungefähr 300 US-Dollar oder 250 Euro entsprach.“

Werbungsaktionen für Covid-19-Impfstoffe im Darknet um 400% zugenommen

Nun ziehe das Geschäft im Januar 2021 offenbar erst so richtig an: Die Werbungsaktionen für „Covid-19“-Impfstoffe im Darknet hätten um 400 Prozent auf einige hundert zugenommen. Eine schlichte Suche der Sicherheitsforscher habe über 340 Ergebnisse auf 34 Webseiten zum Vorschein gebracht – im Dezember seien es noch acht bei ähnlicher Suche gewesen.
Außerdem seien die Preise für die angebotenen Impfstoffe stark angestiegen: „Im Dezember lag der Durchschnitt bei 250 bis 300 US-Dollar (205 bis 246 Euro) für Impfdosen. Nun stieg er auf 500 US-Dollar (411 Euro) und manchmal sogar 1000 US-Dollar (822 Euro) an – eine, im extremen Fall, Vervierfachung.“

Nunmehr Trend zum Angebot von Paketen mit mehreren Impfstoffen

Zudem würden nun keine einzelnen Dosen mehr allein verkauft, sondern Pakete mit mehreren Impfstoffen darin. Dies verweise auf eine Vergrößerung des Geschäftsfeldes dieses Schwarzmarkts und zeige, dass Leute in den Blick rückten, die für Freunde und Familien auf einmal Einkaufen möchten und entsprechend mehr Geld in die Hand nähmen. Vor der Korruption, die mit der Impfstoff-Verteilung einhergehen kann, habe Transparency.org schon im Dezember 2020 gewarnt.
Erschreckend sei vor allem eine Beobachtung: „Zu Beginn wurden die meisten Impfdosen als ,Made in China‘ beworben, ohne Marken-Kennzeichnung oder Zertifikat einer Behörde (FDA oder ENSA). Seit der Freigabe durch die US-amerikanische FDA wird das Freigabesiegel nun aber missbraucht und angezeigt, oder die Angebote ohne genaue Spezifikation ausgeschrieben.“

Als Feldversuch Impfstoff bestellt – Lieferung nie erhalten

Die Sicherheitsforscher von Check Point wollten demnach die Zuverlässigkeit der Angebote selbst überprüfen und hätten daher eine Bestellung über den Nachrichtendienst „Telegram“ bei einem Händler im Darknet in Auftrag gegeben. „Sie bekamen die Kontakt-Daten und Telefonnummer über ein Darknet-Forum. Angeboten wurde ihnen dann ein chinesischer Impfstoff für 750 US-Dollar (616 Euro). Sie schlugen ein, zahlten mit Bitcoin, gaben ihre Lieferadresse an und fragten nach Versand-Details. Nach einigen Tagen ohne Kontakt erhielten sie eine Nachricht über ,Telegram‘, dass der Impfstoff an ihre Adresse geliefert worden sei.“
Wieder wenige Tage später sei das Konto des Anbieters gelöscht worden und natürlich sei das Paket bis heute nicht eingetroffen. Einer der kontaktierten Verkäufer habe sogar damit geworben, er könne 10.000 Dosen verschicken, was für 5.000 Personen reichen würde (jede Impfung gegen „Covid-19“ benötige zwei Schüsse im Abstand von 21 Tagen). „Er schlug vor, weil die Ladung so groß wäre, diese auf drei oder vier Lieferung aufzuteilen und verlangte insgesamt 30.000 US-Dollar (24.657 Euro).“

Weitere Informationen zum Thema:

Check Point Blog, 12.01.2021
Covid-19 ‘Vaccines’ Touted for Just $250 on Darknet

EUROPOL, 04.12.2020
Early Warning Notification – Vaccine-related crime during the COVID-19 pandemic

TRANSPARENCY INTERNATIONAL, Jonathan Cushing, 13.11.2020
VACCINATING AGAINST CORRUPTION

datensicherheit.de, 28.07.2016
Das Darknet: Fluch und Segen zugleich / Anonymität schützt Kriminelle, aber auch Journalisten und Verfolgte

Beispiel EMA zeigt, dass Cyber-Angriffe auf Pharmaunternehmen in aktueller Situation keine Überraschung sind

[datensicherheit.de, 11.12.2020] Wie in der Nacht zum 10. Dezember 2020 bekannt geworden sei, hätten Hacker einen gezielten Angriff auf die Europäische Arzneimittel-Behörde (EMA) verübt – dabei seien „einige Dokumente“ im Zusammenhang mit dem Zulassungsantrag für den von beiden Pharma-Unternehmen gemeinsam entwickelten „COVID-19“-Impfstoff entwendet worden. Laut eigener Aussage der Unternehmen habe dieser Vorfall keine Auswirkungen auf die Produktion und Auslieferung des Impfstoffes.

Foto: G DATA

Tim Berghoff: Angreifer gefährden ganz real Leib und Leben

Verlust unschätzbar wertvoller Forschungsergebnisse in Obhut der EMA drohten

Dennoch könne man hierbei von einem „besorgniserregenden Datenleck“ sprechen, ziele dieser Angriff doch „mitten ins Herz der aktuell mitunter kritischsten Infrastruktur Europas“. Man stelle sich nur vor, der Angriff hätte zu einem schwerwiegenden Verlust der unschätzbar wertvollen Forschungsergebnisse geführt und dadurch eine veritable Verzögerung der Auslieferungskette nach sich gezogen.
„Die gesamte Weltbevölkerung erwartet derzeit sehnsüchtig die Frei- und Ausgabe des ,COVID-19‘-Impfstoffs, denn er verspricht nicht weniger als die Wiederherstellung des schmerzlich vermissten Normalzustandes und damit den Ausweg aus dem Lockdown-Teufelskreis.“

KRITIS wie z.B. die EMA müssen besser vor Cyber-Attacken geschützt werden

Zwar sei bisher nicht bekannt, wer sich für den Cyber-Angriff auf die EMA verantwortlich zeichnet. Doch eines sei bereits klargeworden: Die kritische Infrastrukturen (KRITIS) müssten besser vor Cyber-Attacken geschützt werden. „Anstatt über ein Verbot effektiver Kryptographie oder ,Staatstrojaner‘ zu sprechen, sollte die Bundesregierung sich lieber um einen effektiven Schutz der kritischen Infrastruktur kümmern“, betont Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense.
Angriffe auf Pharmaunternehmen seien in der aktuellen Situation – leider – keine Überraschung. „Der Gesundheitsbereich wird auch in der ,Pandemie‘ regelmäßig angegriffen. Damit gefährden die Angreifer ganz real Leib und Leben der Menschen – das ist verabscheuungswürdig“, so Berghoff.

Weitere Informationen zum Thema:

datensicherheit.de, 10.12.2020
EMA: Europäische Arzneimittelagentur gehackt / IT-Sicherheitsmaßnahmen müssen erhöhter Bedrohungslage angepasst werden | Ein Kommentar von Tanium