Suchen

Trends und Taktiken in den Zeiten von Covid-19 5 Cybercrime-Trends in der Corona-Krise

| Autor / Redakteur: Oleg Kolesnikov / Peter Schmitz

Die COVID-19-Krise hat wenig überraschend Cyberkriminelle unterschiedlichster Couleur auf den Plan gerufen. Dabei sind ihre Kampagnen nicht unbedingt neu oder besonders ausgefeilt. Vielfach bedienen sich bei existierenden Malware-Kits „von der Stange“, die sich mit vergleichsweise wenig Aufwand aktualisieren lassen.

Firmen zum Thema

Cyberkriminelle nutzen auch die Corona-Krise schamlos aus um neue Opfer zu finden.
Cyberkriminelle nutzen auch die Corona-Krise schamlos aus um neue Opfer zu finden.
(Bild: gemeinfrei / Pixabay )

Das Threat Research Team von Securonix hat sich in den letzten Wochen vor allem der Beobachtung neuer Trends und Szenarien gewidmet und zusätzlich einige grundlegende Empfehlungen für Security Operations Teams zusammengestellt.

Trend 1: Malware Domains

In den vergangenen Wochen tauchten vermehrt Domains auf, die Wörter wie „corona“ oder „covid19“ verwenden. Dabei wurden Versuche beobachtet, auf die Registry-Einstellungen von Anwendungen zuzugreifen, um Anmeldedaten oder andere Benutzerinformationen abzuziehen. Daneben gibt es diverse Formen von Ransomware-Angriffen auf das Gesundheitswesen, aber im Zuge des großen Informationsbedürfnisses der Bevölkerung auch auf Endnutzer. Die Domain “coronavirusapp[.]site” verbreitet beispielsweise einen falschen Covid-19-Tracker. Erst nach Zahlung von 100 Dollar in Bitcoin innerhalb einer Frist von 48 Stunden erhalten die Opfer angeblich Informationen zur Entschlüsselung ihrer Daten. Der Malware-Autor hat allerdings keine der sonst üblichen Verschleierungstaktiken gewählt, um den Quellcode zu verbergen. Der Schlüssel lautet: “4865083501”.

Was man tun sollte

  • Vorsichthalber Firewall-Regeln auf Proxy-Geräten deaktivieren, um die Kommunikation zwischen diesen Domains zu unterbinden
  • Passwörter der Benutzer ändern, die diese Domains besucht haben
  • Einige der böswilligen COVID-19 Domains sind neu und nutzen ausschließlich Community-basierte Threat Intelligence-Dienste, die nicht unbedingt komplette Transparenz bieten. So hat sich die Kategorisierung der "coronavirus-map[.]com" Domain seit dem 18. März 2020 von “Miscellaneous/Unknown" zu "Phishing" geändert. Es empfiehlt sich, einige dieser Domains generell zu blockieren, unabhängig von ihrem jeweiligen Score.

Trend 2: Phishing

Etliche Phishing-Kampagnen machen sich die Pandemie zunutze. E-Mails, die scheinbar von offiziellen Einrichtungen kommen, Updates enthalten oder Verhaltensmaßregeln, haben nicht selten eine Schadsoftware im Gepäck. Allein in der ersten behördlich verordneten Home Office-Woche tauchten fünf verschiedene Phishing-Kampagnen auf.

Was man tun sollte

  • Überwachen, ob der Datenverkehr zu neu registrierten oder seltenen Domains ansteigt
  • Auf Anzeichen von C2-Aktivitäten achten - beides effektive Maßnahmen, um Frühwarnzeichen zu erkennen.

Trend 3: Remote/VPN

Eine größere Herausforderung ist das hohe Login-Volumen bei 2-Faktor- und Multifaktor-Anwendungen. Die Sicherheitsforscher haben beispielsweise einen Anstieg um Faktor 8 bis 10 bei MFA-Enrollment-Anfragen allein in einem Zeitfenster von 72 Stunden registriert.

Die Sicherheitsforscher haben einen Anstieg um Faktor 8 bis 10 bei MFA-Enrollment-Anfragen allein in einem Zeitfenster von 72 Stunden registriert.
Die Sicherheitsforscher haben einen Anstieg um Faktor 8 bis 10 bei MFA-Enrollment-Anfragen allein in einem Zeitfenster von 72 Stunden registriert.
(Bild: Securonix)

Dazu kommt eine Flut von technischen Support-Anfragen. Angreifer haben die aktuelle Schwachstelle schnell identifiziert. Mithilfe von altbekannten Social-Engineering-Methoden mithilfe von öffentlich zugänglichen Informationen aus Business-Netzwerken wie LinkedIn, versuchen die Angreifer über scheinbare Support-Anfragen an Einmal-Passwörter zu gelangen oder ihre eigenen Geräte für die Multifaktor-Authentifizierung anzumelden.

Was man tun sollte

  • Verhaltensanomalien zwischen Benutzerkonten und MFA erkennen; gleiches gilt für die Geräte, die über MFA von diesen Konten aus auf das Netzwerk zugreifen.
  • Man darf angesichts der Situation an gängige Social Engineering-Methoden erinnern und Support-Teams auf diverse aktuelle Scaming-Möglichkeiten hinweisen
  • Rund um den Globus arbeiten Menschen jetzt zumindest zeitweise vom Home Office aus, was zu einem 50- bis teilweise sogar 100-prozentigen Anstieg bei der Nutzung von VPNs und anderen Remote-Authentifizierungsmethoden geführt hat. Behalten Sie deshalb VPN-Anomalien im Blick und überprüfen Sie sämtliche Aktivitäten, die auf die VPN- oder Remote-Authentifizierung folgen.

Trend 4: Missbrauch von Benutzerkonten

Die Sicherheitsforscher beobachteten wie sich ein Vertragsnehmer von verschiedenen Ländern aus über ein Firmen-VPN einzuloggen versuchte. Einige der Standorte fielen allerdings aus dem Rahmen des firmenüblichen. Insgesamt erfolgten über dieses Benutzerkonto Anmeldungen aus 26 unterschiedlichen Ländern über eine Zeitspanne von 14 Tagen. Derart unterschiedliche Standortinformationen sind oft ein Zeichen für ein kompromittiertes Konto.

In einem anderen Fall authentifizierte sich ein Benutzer innerhalb von kurzer Zeit von zwei unterschiedlichen Orten aus, in diesem Fall den USA und Deutschland. Sich aus Deutschland anzumelden war für diesen Benutzer allerdings eher untypisch. Zudem hatte er große Dateimengen aus dem Content Management System "SharePoint" zusammengetragen und per E-Mail an eine Empfänger-Domain geschickt, die seinem Zunamen enthielt. Das verwendete Threat Model setzte die beiden Szenarien mit den Informationen aus unterschiedlichen Datenquellen zusammen. Es handelt sich um einen Insider-Betrug mit Identitätsdiebstahl.

Telefonkonferenzsysteme und mit ihnen verbundene Instant-Messaging-Optionen kommen jetzt vermehrt zum Einsatz. Damit wächst die Wahrscheinlichkeit, dass Benutzer auch nicht autorisierte Anwendungen installieren. Eine nicht autorisierte Version eines populären Instant Messengers löste nach Aussagen der Sicherheitsforscher für die Anwendung untypische Befehlseingaben aus. Solche Vorkommnisse lassen sich oft schwer erkennen und einordnen, weil die entsprechenden BYOD-Sicherheitsmaßnahmen fehlen.

Eine nicht autorisierte Version des WeChat Instant Messengers löste nach Aussagen der Sicherheitsforscher untypische Befehlseingaben aus.
Eine nicht autorisierte Version des WeChat Instant Messengers löste nach Aussagen der Sicherheitsforscher untypische Befehlseingaben aus.
(Bild: Securonix)

Was man tun sollte

  • Benutzer-basierte Überwachung einsetzen, um verdächtige Login-Versuche anhand von Standortinformationen oder der Zahl der Anmeldeversuche zu erkennen
  • Richtlinien zum richtigen Gebrauch und potenziellen Missbrauch von Passwörtern erneut kommunizieren – insbesondere angesichts der veränderten Arbeitsbedingungen
  • Strenge Endpunkt-Kontrollen, die verhindern, dass nicht autorisierte Anwendungen auf Unternehmensgeräten benutzt werden

Zum Abschluss einige grundsätzliche Empfehlungen

  • 1. Durch die stark gestiegene Zahl von Mitarbeitern, die von zuhause arbeiten, ist der Stellenwert von VPN-Sicherheit enorm gestiegen. VPN-Ports von VPNs wie OpenVPN (1194) oder SSL VPN (TCP/UDP 443, IPsec/IKEv2 UDP 500/4500) sollten akribisch überwacht und die Konten am besten über eine Multifaktor-Authentifizierung geschützt werden. Die Login-Daten sollten in die bestehende SIEM/UEBA-Lösung einfließen und dort analysiert werden. In den kommenden Wochen sind DDoS-Angriffe auf VPN-Server nicht unwahrscheinlich.
  • 2. EDR-Logs sollten neue Bedrohungsmodelle integrieren. Sie erkennen, wenn Prozesse unübliche Beziehungsabfolgen nutzen und überwachen Netzwerkverbindungen speziell über DNS und HTTP(S) sowie Dateimodifikationen aller Art.
  • 3. Unterbinden Sie das Installieren von „privaten“ Anwendungen, gegebenenfalls zentral.
  • 4. Setzen Sie alle Aktivitäten zu Benutzer- und Systeminformationen in Beziehung. Das stellt sicher, dass nur dazu berechtigte Nutzer im Netzwerk aktiv sind.

Über den Autor: Oleg Kolesnikov ist VP Threat Research bei Securonix.

(ID:46700775)