Mit der COVID19-Pandemie hat die Anzahl der Cyberattacken signifikant zugenommen. Dabei haben die Analysten von Securonix vier Methoden analysiert, die die Angreifer besonders häufig nutzen. Was diese Methoden konkret ausmacht und wie sich Unternehmen dagegen wehren können, präsentiert CANCOM.info in der Übersicht.
29. Juli 2020
|
Lesedauer: ca. 3 Min.
Bild: © B_A/pixabay.com
Eine Studie des Marktforschungsinstituts Dimensional Research lässt keine Zweifel: Gerade in Zeiten der Coronakrise ist das Thema IT-Security wichtiger denn je. So geben 71 Prozent der befragten Firmen in der Studie an, dass die Anzahl der Cyberattacken und -bedrohungen gestiegen ist (CANCOM.info berichtete).
Welche Cyberattacken konkret ausgeführt wurden, hat kürzlich das Unternehmen Securonix ermittelt. Demzufolge haben sich bei den Attacken 4 Trends herauskristalliert – die alle zwei Punkte gemeinsam hätten: Sie würden auf bekannte Muster setzen und vergleichsweise wenig Aufwand verursachen, wenn es um die Durchführung geht. Für die Analyse, deren Ergebnisse unter anderem die Fachzeitschrift eGovernment Computing veröffentlicht hat, haben die Sicherheitsforscher von Securonix in den vergangenen Wochen neue Trends und Szenarien beobachtet.
Den Analysten zufolge tauchten in den letzten Wochen vermehrt böswillige Domains auf, die Begriffe wie „corona“ oder „covid19“ verwendeten. Die Angreifer hätten damit versucht, auf Registry-Einstellungen von Anwendungen zuzugreifen und so Anmeldedaten oder andere Userinformationen zu stehlen.
Weiterhin seien Malware Domains als Ausgangspunkt genutzt worden, um Ransomware-Angriffe auf das Gesundheitswesen zu starten. Dies sei zum Beispiel bei der Domain „coronavirusapp[.]site” der Fall gewesen: Laut den Sicherheitsforschern verbreitet diese Domain einen falschen COVID19-Tracker, der die Daten der Opfer verschlüsselt und die Informationen zur Entschlüsselung angeblich innerhalb von 48 Stunden herausrückt – vorausgesetzt, die Opfer bezahlen 100 Dollar in Bitcoin.
Als Maßnahme gegen solche Domains empfehlen die Analysten insbesondere, Firewall-Regeln auf Proxy-Geräten zu deaktivieren. Auf diese Weise könnte die Kommunikation zwischen schädlichen Domains unterbunden werden.
Gerade während des Lockouts nutzten viele Cyberkriminelle die Situation für sich aus und verbreiteten E-Mails von scheinbar offiziellen Einrichtungen – so die Analysten. Neben Updates und Verhaltensregeln hätten diese E-Mails nicht selten Schadsoftware enthalten.
Um solche Phishing-Angriffe zu verhindern, müssten Firmen vor allem überwachen, ob der Datenverkehr zu neu registrierten oder seltenen Domains ansteigt. Zudem sei es ratsam, auf sogenannte Command-and-Control bzw. C2-Aktivitäten zu achten. Damit könnte Phishing frühzeitig erkannt werden.
Bei C2-Aktivitäten infiziert der Hacker zunächst einen Computer – etwa über eine Phishing-E-Mail. Sobald der Computer kompromittiert ist, nimmt er Kontakt zum Server des Angreifers auf. Nun hat der Angreifer die vollständige Kontrolle über den infizierten Computer und kann darüber weitere Attacken starten. Dies kann so weit führen, dass der Hacker ein Botnetz, also ein Netzwerk aus infizierten Computern, aufbaut, um so das Unternehmensnetzwerk vollständig zu kapern.
Wie die Analysten beschreiben, ist der Anteil derjenigen Mitarbeiter, die VPNs und andere Remote-Authentifizierungsmethoden nutzen, angesichts der COVID19-Pandemie um 50 bis 100 Prozent gestiegen. Hacker würden diese Situation ausnutzen: Eine häufige Methode sei, eine Flut an technischen Support-Anfragen zu verschicken, um so an Einmal-Passwörter zu gelangen. Damit die Anfragen möglichst glaubwürdig erscheinen, nutzten die Angreifer öffentlich zugängliche Informationen aus Business-Netzwerken wie LinkedIn.
Zur Unterbindung solcher Methoden müssten Firmen unter anderem VPN-Anomalien im Blick haben und sämtliche Aktivitäten überprüfen, die nach der Authentifizierung durchgeführt werden.
Wenn ein Benutzerkonto für einen Zugriff autorisiert ist, bedeutet das nicht automatisch, dass tatsächlich der Nutzer dahintersteckt, wenn der Zugriff über dieses Konto erfolgt. Das geht aus der Untersuchung von Securonix hervor. Als Beispiel nennen die Analysten einen User, der augenscheinlich versuchte, sich aus 26 Ländern innerhalb von 14 Tagen über ein Firmen-VPN einzuloggen – was allerdings nie stattgefunden habe. Denn in Wahrheit sei das Benutzerkonto kompromittiert gewesen. Dies hätte sich etwa darin gezeigt, dass manche Länder für das Unternehmen eher untypisch gewesen seien.
Als Gegenmaßnahme empfehlen die Sicherheitsforscher unter anderem, User-basierte Überwachung einzusetzen, um verdächtige Login-Versuche anhand von Standortinformationen oder der Anzahl an Anmeldeversuchen zu erkennen. Außerdem müssten Unternehmen Richtlinien kommunizieren, die den richtigen Gebrauch sowie den potenziellen Missbrauch von Passwörtern thematisieren.