Cybercrime-Trends in Zeiten von Corona

Trend 1: Malware Domains

In den vergangenen Wochen tauchten vermehrt Domains auf, die Wörter wie „corona“ oder „covid19“ verwenden. Dabei wurden Versuche beobachtet, auf die Registry-Einstellungen von Anwendungen zuzugreifen, um Anmeldedaten oder andere Benutzerinformationen abzuziehen. Daneben gibt es diverse Formen von Ransomware-Angriffen auf das Gesundheitswesen, aber im Zuge des großen Informationsbedürfnisses der Bevölkerung auch auf Endnutzer. Die Domain “coronavirusapp[.]site” verbreitet beispielsweise einen falschen Covid-19-Tracker. Erst nach Zahlung von 100 Dollar in Bitcoin innerhalb einer Frist von 48 Stunden erhalten die Opfer angeblich Informationen zur Entschlüsselung ihrer Daten. Der Malware-Autor hat allerdings keine der sonst üblichen Verschleierungstaktiken gewählt, um den Quellcode zu verbergen. Der Schlüssel lautet: “4865083501”.

Was man tun sollte

• Vorsichthalber Firewall-Regeln auf Proxy-Geräten deaktivieren, um die Kommunikation zwischen diesen Domains zu unterbinden

• Passwörter der Benutzer ändern, die diese Domains besucht haben

• Einige der böswilligen COVID-19-Domains sind neu und nutzen ausschließlich Community-basierte Threat Intelligence-Dienste, die nicht unbedingt komplette Transparenz bieten. So hat sich die Kategorisierung der "coronavirus-map[.]com" Domain seit dem 18. März 2020 von “Miscellaneous/Unknown" zu "Phishing" geändert. Es empfiehlt sich, einige dieser Domains generell zu blockieren, unabhängig von ihrem jeweiligen Score.

Trend 2: Phishing

E-Mails, die scheinbar von offiziellen Einrichtungen kommen, Updates enthalten oder Verhaltensmaßregeln, haben nicht selten eine Schadsoftware im Gepäck. Allein in der ersten behördlich verordneten Home Office-Woche tauchten fünf verschiedene Phishing-Kampagnen auf.

Was man tun sollte

• Überwachen, ob der Datenverkehr zu neu registrierten oder seltenen Domains ansteigt

• Auf Anzeichen von C2-Aktivitäten achten - beides effektive Maßnahmen, um Frühwarnzeichen zu erkennen.

Trend 3: Remote/VPN

Eine größere Herausforderung ist das hohe Login-Volumen bei Multifaktor-Anwendungen. Dazu kommt eine Flut von technischen Support-Anfragen. Angreifer haben die aktuelle Schwachstelle schnell identifiziert. Mithilfe von altbekannten Social-Engineering-Methoden mithilfe von öffentlich zugänglichen Informationen aus Business-Netzwerken wie LinkedIn, versuchen die Angreifer über scheinbare Support-Anfragen an Einmal-Passwörter zu gelangen oder ihre eigenen Geräte für die Multifaktor-Authentifizierung anzumelden.

Was man tun sollte

• Verhaltensanomalien zwischen Benutzerkonten und MFA erkennen; gleiches gilt für die Geräte, die über MFA von diesen Konten aus auf das Netzwerk zugreifen.

• Man darf angesichts der Situation an gängige Social-Engineering-Methoden erinnern und Support-Teams auf diverse aktuelle Scaming-Möglichkeiten hinweisen

• Viele arbeiten jetzt zumindest zeitweise vom Home Office aus, was zu einem 50- bis teilweise sogar 100-prozentigen Anstieg bei der Nutzung von VPNs und anderen Remote-Authentifizierungsmethoden geführt hat. Behalten Sie deshalb VPN-Anomalien im Blick und überprüfen Sie sämtliche Aktivitäten, die auf die VPN- oder Remote-Authentifizierung folgen.

Trend 4: Missbrauch von Benutzerkonten

Die Sicherheitsforscher beobachteten wie sich ein Vertragsnehmer von verschiedenen Ländern aus über ein Firmen-VPN einzuloggen versuchte. Einige der Standorte fielen allerdings aus dem Rahmen des firmenüblichen. Insgesamt erfolgten über dieses Benutzerkonto Anmeldungen aus 26 unterschiedlichen Ländern über eine Zeitspanne von 14 Tagen. Derart unterschiedliche Standortinformationen sind oft ein Zeichen für ein kompromittiertes Konto.

Telefonkonferenzsysteme und mit ihnen verbundene Instant-Messaging-Optionen kommen jetzt vermehrt zum Einsatz. Damit wächst die Wahrscheinlichkeit, dass Benutzer auch nicht autorisierte Anwendungen installieren. Eine nicht autorisierte Version eines populären Instant Messengers löste nach Aussagen der Sicherheitsforscher für die Anwendung untypische Befehlseingaben aus. Solche Vorkommnisse lassen sich oft schwer erkennen und einordnen, weil die entsprechenden BYOD-Sicherheitsmaßnahmen fehlen.

Was man tun sollte

• Benutzer-basierte Überwachung einsetzen, um verdächtige Login-Versuche anhand von Standortinformationen oder der Zahl der Anmeldeversuche zu erkennen

• Richtlinien zum richtigen Gebrauch und potenziellen Missbrauch von Passwörtern erneut kommunizieren – insbesondere angesichts der veränderten Arbeitsbedingungen

• Strenge Endpunkt-Kontrollen, die verhindern, dass nicht autorisierte Anwendungen auf Unternehmensgeräten benutzt werden

Zum Abschluss einige grundsätzliche Empfehlungen

1. Durch die stark gestiegene Zahl von Mitarbeitern, die von zuhause arbeiten, ist der Stellenwert von VPN-Sicherheit enorm gestiegen. VPN-Ports von VPNs wie OpenVPN (1194) oder SSL VPN (TCP/UDP 443, IPsec/IKEv2 UDP 500/4500) sollten akribisch überwacht und die Konten am besten über eine Multifaktor-Authentifizierung geschützt werden. Die Login-Daten sollten in die bestehende SIEM/UEBA-Lösung einfließen und dort analysiert werden. In den kommenden Wochen sind DDoS-Angriffe auf VPN-Server nicht unwahrscheinlich.
2. EDR-Logs sollten neue Bedrohungsmodelle integrieren. Sie erkennen, wenn Prozesse unübliche Beziehungsabfolgen nutzen und überwachen Netzwerkverbindungen speziell über DNS und HTTP(S) sowie Dateimodifikationen aller Art.
3. Unterbinden Sie das Installieren von „privaten“ Anwendungen, gegebenenfalls zentral.
4. Setzen Sie alle Aktivitäten zu Benutzer- und Systeminformationen in Beziehung. Das stellt sicher, dass nur dazu berechtigte Nutzer im Netzwerk aktiv sind.

(Quelle: SecurityInsider.de)