29. Juli 2020 | pArtikel drucken | kKommentieren

Cyberkriminalität in Zeiten von COVID19: Das sind die 4 wichtigsten Trends

Mit der COVID19-Pandemie hat die Anzahl der Cyberattacken signifikant zugenommen. Dabei haben die Analysten von Securonix vier Methoden analysiert, die die Angreifer besonders häufig nutzen. Was diese Methoden konkret ausmacht und wie sich Unternehmen dagegen wehren können, präsentiert CANCOM.info in der Übersicht.

Eine Studie des Marktforschungsinstituts Dimensional Research lässt keine Zweifel: Gerade in Zeiten der Coronakrise ist das Thema IT-Security wichtiger denn je. So geben 71 Prozent der befragten Firmen in der Studie an, dass die Anzahl der Cyberattacken und -bedrohungen gestiegen ist (CANCOM.info berichtete).

Welche Cyberattacken konkret ausgeführt wurden, hat kürzlich das Unternehmen Securonix ermittelt. Demzufolge haben sich bei den Attacken 4 Trends herauskristalliert – die alle zwei Punkte gemeinsam hätten: Sie würden auf bekannte Muster setzen und vergleichsweise wenig Aufwand verursachen, wenn es um die Durchführung geht. Für die Analyse, deren Ergebnisse unter anderem die Fachzeitschrift eGovernment Computing veröffentlicht hat, haben die Sicherheitsforscher von Securonix in den vergangenen Wochen neue Trends und Szenarien beobachtet.

1. Malware Domains

Den Analysten zufolge tauchten in den letzten Wochen vermehrt böswillige Domains auf, die Begriffe wie „corona“ oder „covid19“ verwendeten. Die Angreifer hätten damit versucht, auf Registry-Einstellungen von Anwendungen zuzugreifen und so Anmeldedaten oder andere Userinformationen zu stehlen.

Weiterhin seien Malware Domains als Ausgangspunkt genutzt worden, um Ransomware-Angriffe auf das Gesundheitswesen zu starten. Dies sei zum Beispiel bei der Domain „coronavirusapp[.]site” der Fall gewesen: Laut den Sicherheitsforschern verbreitet diese Domain einen falschen COVID19-Tracker, der die Daten der Opfer verschlüsselt und die Informationen zur Entschlüsselung angeblich innerhalb von 48 Stunden herausrückt – vorausgesetzt, die Opfer bezahlen 100 Dollar in Bitcoin.

Als Maßnahme gegen solche Domains empfehlen die Analysten insbesondere, Firewall-Regeln auf Proxy-Geräten zu deaktivieren. Auf diese Weise könnte die Kommunikation zwischen schädlichen Domains unterbunden werden.

2. Phishing

Gerade während des Lockouts nutzten viele Cyberkriminelle die Situation für sich aus und verbreiteten E-Mails von scheinbar offiziellen Einrichtungen – so die Analysten. Neben Updates und Verhaltensregeln hätten diese E-Mails nicht selten Schadsoftware enthalten.

Um solche Phishing-Angriffe zu verhindern, müssten Firmen vor allem überwachen, ob der Datenverkehr zu neu registrierten oder seltenen Domains ansteigt. Zudem sei es ratsam, auf sogenannte Command-and-Control bzw. C2-Aktivitäten zu achten. Damit könnte Phishing frühzeitig erkannt werden.

Bei C2-Aktivitäten infiziert der Hacker zunächst einen Computer – etwa über eine Phishing-E-Mail. Sobald der Computer kompromittiert ist, nimmt er Kontakt zum Server des Angreifers auf. Nun hat der Angreifer die vollständige Kontrolle über den infizierten Computer und kann darüber weitere Attacken starten. Dies kann so weit führen, dass der Hacker ein Botnetz, also ein Netzwerk aus infizierten Computern, aufbaut, um so das Unternehmensnetzwerk vollständig zu kapern.

3. Unerlaubte Remote-Zugriffe

Wie die Analysten beschreiben, ist der Anteil derjenigen Mitarbeiter, die VPNs und andere Remote-Authentifizierungsmethoden nutzen, angesichts der COVID19-Pandemie um 50 bis 100 Prozent gestiegen. Hacker würden diese Situation ausnutzen: Eine häufige Methode sei, eine Flut an technischen Support-Anfragen zu verschicken, um so an Einmal-Passwörter zu gelangen. Damit die Anfragen möglichst glaubwürdig erscheinen, nutzten die Angreifer öffentlich zugängliche Informationen aus Business-Netzwerken wie LinkedIn.

Zur Unterbindung solcher Methoden müssten Firmen unter anderem VPN-Anomalien im Blick haben und sämtliche Aktivitäten überprüfen, die nach der Authentifizierung durchgeführt werden.

4. Missbrauch von Benutzerkonten

Wenn ein Benutzerkonto für einen Zugriff autorisiert ist, bedeutet das nicht automatisch, dass tatsächlich der Nutzer dahintersteckt, wenn der Zugriff über dieses Konto erfolgt. Das geht aus der Untersuchung von Securonix hervor. Als Beispiel nennen die Analysten einen User, der augenscheinlich versuchte, sich aus 26 Ländern innerhalb von 14 Tagen über ein Firmen-VPN einzuloggen – was allerdings nie stattgefunden habe. Denn in Wahrheit sei das Benutzerkonto kompromittiert gewesen. Dies hätte sich etwa darin gezeigt, dass manche Länder für das Unternehmen eher untypisch gewesen seien.

Als Gegenmaßnahme empfehlen die Sicherheitsforscher unter anderem, User-basierte Überwachung einzusetzen, um verdächtige Login-Versuche anhand von Standortinformationen oder der Anzahl an Anmeldeversuchen zu erkennen. Außerdem müssten Unternehmen Richtlinien kommunizieren, die den richtigen Gebrauch sowie den potenziellen Missbrauch von Passwörtern thematisieren.

Fazit

Die Analyse von Securonix zeigt vier klare Trends auf, wie Cyberkriminelle in den vergangenen Wochen vorgegangen sind, um Attacken durchzuführen. Dabei seien die Angriffe weder innovativ noch neu gewesen – sondern hätten auf bewährte Muster gesetzt. Egal ob es sich um Malware Domains, Phishing, der Kompromittierung von Remote-Zugriffen oder dem Missbrauch von Benutzerkonten handelt.

Wie die Analysten betonen, ist vor allem der Stellenwert der VPN-Sicherheit enorm gestiegen. Dies liege daran, dass seit der Coronakrise deutlich mehr Mitarbeiter wie zuvor im Home Office arbeiten. Zur Gewährleistung dieser Sicherheit müssten Unternehmen beispielsweise dedizierte VPN-Ports wie OpenVPN (1194) oder SSL VPN (z.B. TCP/UDP 443) überwachen.

Weitere Informationen zum Thema IT-Sicherheit im Home Office erfahren Sie hier

Homeoffice Banner

Quelle Titelbild: © B_A/pixabay.com

Hier schreibt Christian Schinko für Sie

Mehr Artikel vom Autor