Cyberbedrohungen
Covid-19-Impfung und Fake News als Köder
Bei unserem Monitoring der Cyberbedrohungen, die die Covid-19-Pandemie ausnutzen, stellten wir ein wachsende Interesse von Cyberkriminellen am Prozess der Impfung fest.
Originalbeitrag von Paul Pajares
Bei unserem Monitoring der Cyberbedrohungen, die die Covid-19-Pandemie ausnutzen, stellten wir ein wachsende Interesse von Cyberkriminellen am Prozess der Impfung fest, von Angstmache mit Fehlinformationen bis hin zum Trend, das Impfen für bösartige Aktivitäten im Internet zu missbrauchen. Gegen Ende 2020 begannen Cyberkriminelle, Unternehmen und Verbraucher mit Entwicklungen bei der Wahrnehmung, Herstellung und Verteilung von Impfstoffen als Köder anzugreifen. Die Daten unserer Sensoren zeigen, dass die erkannten Versuche im dritten Quartal des Vorjahres deutlich zunahmen und dann im letzten Quartal einen Höhepunkt erreichten. Zu den betreffenden Aktivitäten gehörten Phishing, Scams, Backdoors, gefälschte Apps und Malware (z. B. Ransomware) sowie deren Varianten für Mobilgeräte. Neben der Wiederverwendung früherer Techniken für das Ködern der Benutzer mit Informationen über den Impfstoff scheinen die Cyberkriminellen das wachsende Interesse der Öffentlichkeit an allen Nachrichten über die letzten Phasen der Impfstofftests sowie an Nachrichten über laufende Pläne für die Verteilung einzusetzen.
Bild 1. Zahl der entdeckten bösartigen Aktivitäten, die das Covid-19-Impfstoffthema als Köder missbrauchen
Wir fanden auch einige neue Social Engineering-Techniken zusammen mit verschiedenen Malware-Einsatzroutinen, Betrugsschemata und Angriffen, die das Thema der weltweiten Impfstoffverteilung ausnutzen.
Kühlungskette als Ziel
Die Kühlungskette betrifft die kontinuierliche Logistik und das Management von Dienstleistungen, die sicherstellen, dass temperaturgeregelte Produkte in einer gekühlten Umgebung produziert, gelagert, transportiert und verteilt werden, um ihre Integrität und Qualität zu gewährleisten. Insbesondere in der Kühlungskette für Impfstoffe erfordert jede Komponente Personal mit spezifischer Ausbildung für die Handhabung, die Lagerung und den Transport dieser Waren, Prozesse, die von Managementverfahren, speziellen Protokollen und gesetzlichen Vorschriften geleitet werden.
Bild 2. Die Kühlungskette für Impfstoffe und Lücken, die missbraucht werden können
Phishing-Versuche nahmen zu, die auf wichtige Unternehmen in der Kühlungskette für Impfstoffe mit dem Ziel des Diebstahls vertraulicher Daten abzielen, wie z. B. Hersteller und Logistikunternehmen sowie deren Kunden aus der Organisation. Die Hauptzielgruppen waren Unternehmen aus dem Telekommunikations-, Banken-, Einzelhandels-, Regierungs- und Finanzsektor, die wahrscheinlich aufgrund ihrer starken Beteiligung an den Impfprozessen ausgewählt wurden.
Bild 3. Länderverteilung der Kühlungsketten-Phishing-Versuche
Malware-Betreiber nutzen die Kühlungskette auch, um Partner entlang der Lieferkette anzugreifen, und um andere Länder oder Unternehmen ins Visier zu nehmen, die an einem Großeinkauf interessiert sind, oder gar Benutzer auf der Suche nach Jobs. Trotz der globalen Zerschlagung der für Emotet verantwortlichen Gruppe verzeichnen unsere Sensoren weiterhin eine erhebliche Anzahl von Angriffsversuchen in verschiedenen Ländern, mit Ködern rund um Impfungen, medizinische Berichte oder Informations-Updates. Dies deutet auf das Vorhandensein von mit Emotet infizierten Geräten hin, die noch nicht vollständig gesäubert wurden. Auch entdeckten wir Varianten von Lokibot, die von Bangladesch und den USA aus eingesetzt und in Spam-Samples eingebettet wurden und sich als Impfstoff-Anbieter ausgeben und Updates zum Impfstoff und den Veröffentlichungszeitplänen anbieten. Ähnlich wie andere auch entdeckten wir die Ransomware Vaggen, die überwiegend in den USA und Deutschland auftaucht, während die meisten Kühlungsketten-Phishing-Infektionen auf Server in den Niederlanden und Österreich zurückverfolgt wurden.
Bild 4. Verteilung nach Ländern, aus denen Emotet-Erkennungen kamen (abgehend)
Scams und Malware
Auch Betrugsschemata nahmen weiter zu, die auf Personen abzielten, die mehr Informationen über den Impfstoff suchten, nach Möglichkeiten ihn zu erwerben, oder sich für Jobs und um Hilfeleistungen bewarben. Obwohl die Sicherheitsbehörden eine Reihe von gefälschten Websites abgeschaltet haben, die sich als Nichtregierungsorganisationen (NGOs) und Unternehmen zur Verteilung des Impfstoffs ausgeben, fanden wir doch immer weitere Websites, die nach persönlichen Daten der Besucher phishten.
Bild 5. Gefälschte Website einer Biotechnologiefirma
Böswillige Akteure nutzten auch SMS mit Ködern wie die Verteilung von Impfstoffen und Hilfspaketen für ältere Menschen, Arbeitslose und sogar notleidende Unternehmen. So wurde zum Beispiel ein SMS-Wurm getwittert, der sich in Indien über Textnachrichten verbreitete. Tippten die Opfer auf den Link im Text, nutzte der Wurm die Kontakte der Opfer, um sich zu verbreiten. In einem Kommentar auf Twitter, der diesen Betrug aufdeckte, hieß es, dass es sich um eine der ersten mobilen Malware handeln könnte, die Dual-SIMs unterstützt. Bemerkenswert ist, dass die Malware den bösartigen Wurm über den ersten Betreiber sendet, den der Code erkennt.
Bild 6. Ein mobiler Wurm, der sich per Text verbreitet und die Kontaktliste des Opfers zur Verbreitung nutzt (oben), und ein Dual-SIM-fähiger Code (unten) (Screenshots von Lukas Stefanko und Axelle Ap)
Wir fanden auch Fake-Apps für die Registrierung für Covid-19-Tests: V-Alert COVID-19 (AndroidOS_Cerberus.HRXC) und Covid-19-Tests (AndroidOS_Anubis.GCL). Beide verbreiten die Banking-Malware Anubis und Cerberus. Bei näherer Betrachtung der Verbreitung von Cerberus fanden wir auch die gleichen Varianten von Cerberus unter der Bezeichnung „Google Update“, die auf Japan und Deutschland abzielen. Weitere Einzelheiten zu anderen Fake Apps liefert der Originalbeitrag.
Der illegale Markt und gefälschte Impfpässe
Seit dem vierten Quartal 2020 sind die Polizeibehörden laufend damit beschäftigt, Gruppen zu fassen und Websites zu schließen, die gefälschte Impfstoffe und Heilmittel verkaufen. Darüber hinaus untersuchen die Ermittler auch legitime E-Commerce-Seiten, die weltweit mutmaßlich gefälschte Impfstoffe verkaufen. Die Behörden warnen davor, dass diese Seiten möglicherweise nur hinter den Bank- und Kreditkarteninformationen und persönlichen Daten der Benutzer her sind.
Bild 7. Legitime E-Commerce-Websites und -Seiten, die mutmaßlich gefälschte Impfstoffe verkaufen und auf Unternehmen in bestimmten Ländern abzielen (d. h. B2B-Marktplätze)
Immer mehr Menschen wollen auch Fake Impfpässe erwerben. Verkäufer haben Berichten zufolge die sozialen Medien genutzt, um diese gefälschten Ausweise zu erstellen. Behörden warnten wiederholt geimpfte Benutzer davor, ihre Impfpässe in den sozialen Medien zu veröffentlichen: zum einen, um Identitätsdiebstahl vorzubeugen, und zum anderen, um zu verhindern, dass Betrüger Ideen sammeln, wie man solche Ausweise fälschen kann. Die Fälschung dieser Ausweise kann auf lange Sicht schädlich und tödlich sein, da ihre Verwendung durch Personen, die nicht vollständig geimpft sind, die Wahrscheinlichkeit einer längeren Pandemie und längerer Quarantänezeiten auf der ganzen Welt erhöhen.
Bild 8. Top 15 Länder mit den meisten Bedrohungen und Angriffen im Zusammenhang mit dem Thema Covid-19-Impfstoff, von Januar bis Mai 2021
Frankreich und Japan wiesen die höchste Zahl von Angriffen auf. Der Grund liegt wahrscheinlich darin, dass in den beiden Ländern wichtige Ereignisse anstanden bzw. anstehen: French Open, Tour de France, Rugby World Cup sowie die Olympiade. Beide Länder kündigten an, dass Zuschauer und Teilnehmer dieser Veranstaltungen einen Impfnachweis, z. B. in Form eines Impfpasses, vorlegen müssen. Da die Länder versuchen, Touristen anzulocken haben sie angekündigt, dass alle ausländischen Besucher durch neue Technologien kontrolliert werden, die den Kontakt mit den Einwanderungsbeamten am Flughafen verringern, wie z. B. durch Gesichtserkennung und Biometrie.
Fazit
Der Rückgang der Anzahl der bösartigen Routinen im ersten Quartal des Jahres könnte darauf hindeuten, dass Cyberkriminelle auf die nächste Entwicklung oder weitere Nachrichten über die Pandemie warten, die sie für sich ausnutzen können. Wir müssen jedoch diese Routinen und Techniken weiter im Auge behalten, denn angesichts der weltweit laufenden Impfungen ist es unwahrscheinlich, dass diese Schemata in nächster Zeit abklingen werden. Die Aufmerksamkeit und Ziele der Cyberkriminellen könnten sich schließlich einfach auf andere Länder und Ereignisse verlagern. Außerdem werden Cyberkriminelle angesichts der Covid-19-Mutationen, die sich in verschiedenen Teilen der Welt ausbreiten, dieses Thema noch für weitere Monate als Köder missbrauchen. Infolgedessen werden Länder, in denen die Impfungen noch im Gange sind, wahrscheinlich die nächsten Ziele für bösartige Aktivitäten sein.
Dokumente und Technologien im Zusammenhang mit der Pandemie könnten ebenfalls ein Ziel sein. Da immer mehr Menschen geschäftlich und privat auf Reisen gehen, werden der Verkauf und die Dienstleistungen für gefälschte Dokumente auf dem Online- und Offline-Untergrundmarkt wahrscheinlich stark zunehmen, und Technologien, die die Gesundheits- und Impfdaten von Menschen überprüfen, werden zum Ziel für Online-Angriffe.
Cyberkriminelle missbrauchen auch weiterhin das Bedürfnis der Menschen nach mehr Informationen, insbesondere solcher, die eine „Rückkehr zur Normalität“ in Ländern suggerieren, in denen die Infektionsraten rückläufig sind. Es ist daher wahrscheinlich, dass Fehlinformationen und Fake News auch nach der Impfung weiter um sich greifen.
Schutz vor Covid-19 Scams und Routinen
Cyberkriminelle Gruppen finden die effektivsten Techniken, um Systeme zu infizieren und anzugreifen sowie ahnungslose Personen ins Visier zu nehmen. Einige Best Practices zur Risikominimierung und zum Schutz vor diesen Bedrohungen und Betrügereien können dagegen helfen:
- Laden Sie Apps, Software und/oder Medien nur von offiziellen Plattformen oder Websites herunter. Anwendungen oder Software von nicht offiziellen Plattformen können bösartige Komponenten enthalten oder sich als andere verbreitete Apps ausgeben. Sie können auch Funktionen beinhalten, die nichts mit ihrem angegebenen Zweck zu tun haben.
- Vermeiden Sie es, eingebettete Links in Mails und Textnachrichten auszuwählen, die Dringlichkeit suggerieren oder von unbekannten Absendern stammen. Es könnte es sich um Phishing- und/oder SMShing-URLs handeln, die auch zu bösartigen Websites führen, die absichtlich Geräte infizieren, über die anschließend heimlich kommuniziert wird.
- Vermeiden Sie es, Fake News, Werbung oder nicht verifizierte Informationen vor allem über soziale Medien auszuwählen und zu verbreiten. Überschriften von Fake News sind darauf ausgerichtet, Klicks zu erzeugen: Sie sind reißerisch, um das Interesse der Leser zu wecken und starke Emotionen hervorzurufen. Diese Seiten leiten Sie möglicherweise auf bösartige Websites weiter, die Informationen stehlen oder Malware verbreiten. Suchen Sie vor dem Teilen nach anderen zuverlässigen und bekannten Medienstellen, die die gleichen Inhalte veröffentlichen, um die Richtigkeit der Informationen zu überprüfen.
Trend Micro-Lösungen
Es empfiehlt sich ein mehrschichtiger Schutz, um alle Fronten abzudecken und Nutzer daran zu hindern, auf bösartige Domänen zuzugreifen. Trend Micro-Endpunktlösungen wie die Smart Protection Suites und Worry-Free™ Business Security entdecken und blockieren Malware und auch deren bösartige Domänen.
Als zusätzliche Verteidigungsschicht vereitelt Trend Micro™ Email Security Spam und andere E-Mail-Angriffe. Der Schutz wird ständig aktualisiert, sodass das System sowohl vor alten als auch vor neuen Angriffen gesichert ist. Trend Micro™ InterScan™ Messaging Security ist in der Lage, ankommende Bedrohungen zu stoppen und nach draußen gehende Daten zu sichern, sowie Spam und andere Mail-Bedrohungen zu blockieren.
Trend Micro Phish Insight kann dazu beitragen, dass Mitarbeiter und Benutzer ihre Aufmerksamkeit für Sicherheit und Informationen zur Erkennung von Bedrohungen für das Unternehmen und sich selbst schulen. Mithilfe von Simulationen zu den neuesten Bedrohungen und Techniken kann das Cyber-Bewusstsein gestärkt und eine Verhaltensänderung herbeigeführt werden, indem reale Phishing-Kampagnenbeispiele für individuelle Schulungen auf einer benutzerfreundlichen Plattform verwendet werden. Trend Micro Check unterstützt bei der Erkennung von Fehlinformationen, Betrug und ähnlichen Online-Bedrohungen. Es ist ein kostenloses, plattformübergreifendes Tool, das auf künstlicher Intelligenz (KI) basiert und die Erkennung von Scam-Links, die Überprüfung der E-Mail-Sicherheit, Checken von Text-, Audio- und Bildmaterial zur Identifizierung von Fehlinformationen sowie die Überprüfung der Glaubwürdigkeit von Nachrichtenagenturen bietet. Seit seiner Einführung hat das Tool mehr als zwei Millionen Betrugsfälle und drei Millionen Fehlinformationen identifiziert.
Lösungen wie Trend Micro™ Mobile Security wiederum blockieren bösartige Apps. Unternehmen können die Vorteile von Trend Micro™ Mobile Security for Enterprise nutzen. Die Suite bietet Geräte-, Compliance- und Anwendungsmanagement, Datenschutz und Konfigurationsbereitstellung. Außerdem schützt sie Geräte vor Angriffen, die Schwachstellen ausnutzen, verhindert den unberechtigten Zugriff auf Apps und erkennt und blockiert Malware und betrügerische Websites. Der Trend Micro’s Mobile App Reputation Service (MARS) deckt Android- und iOS-Bedrohungen mit führenden Sandbox- und ML-Technologien ab, um Anwender vor Malware, Zero-Day- und bekannten Exploits, Datenschutzlecks und Anwendungsschwachstellen zu schützen.
Der Originalbeitrag bietet auch eine Liste der Indicators of Compromise.