Phishing-Kampagnen in Bezug auf COVID-19
Palo Alto Networks: Angriffe per Ransomware beobachtet
Unit 42, die Forschungsabteilung von Palo Alto Networks, hat beobachtet, dass Bedrohungsaktivitäten von Angreifern während der COVID-19-Pandemie nicht nachlassen. Diese seien insbesondere Phishing-Angriffe auf Behörden und medizinische Organisationen. Unit 42 möchte ein gründliches Bild und eine solide technische Analyse der verschiedenen Arten von COVID-19-Themen liefern, mit denen Organisationen während der laufenden Pandemie konfrontiert sein können.
Die Forscher befassen sich insbesondere mit einer Ransomware-Variante (EDA2), die bei Angriffen auf eine Gesundheitsorganisation der kanadischen Regierung und eine medizinische Forschungsuniversität in Kanada beobachtet wurde. Sie setzen sich zudem mit einer Infostealer-Variante (AgentTesla), die bei Angriffen auf verschiedene andere Ziele vorkam, auseinander. Darunter sind Forschungseinrichtung des US-Verteidigungsministeriums, eine türkische Regierungsbehörde, die öffentliche Aufträge verwaltet, mehrere große Technologie- und Kommunikationsunternehmen mit Sitz in Kanada, Deutschland und England sowie medizinische Organisationen und Forschungseinrichtungen in Japan und Kanada gelistet. Keines der erwähnten Malware-Samples konnte ihre beabsichtigten Ziele erreichen.
Zwischen dem 24. März 2020 und dem 26. März beobachtete Unit 42 nach eigenen Angaben mehrere bösartige E-Mails, die von der gefälschten Adresse noreply@who[.]int gesendet wurden. Die Adressaten sollen mehrere Personen bei einer Gesundheitsorganisation und einer Universität in Kanada gewesen sein, die COVID-19 Maßnahmen planen beziehungsweise Forschung betreiben. Die E-Mails enthielten alle einen bösartigen Phishing-Locker im Rich-Text-Format (RTF), so Unit 42. Wenn Personen diesen mit einer anfälligen Anwendung öffneten, sollen die Angreifer versucht haben eine Ransomware-Nutzlast über eine bekannte Sicherheitslücke in einer Microsoft-Komponente, CVE-2012-01, auszuliefern.
Ziel von Unit 42 sei es, ein tieferes Verständnis für kriminelle Kampagnen zu vermitteln, mit denen kritische Branchen konfrontiert sind. Die Fälle verdeutlichen, dass die Angreifer bevorzugt Organisationen ins Visier nehmen, die in direkter Verbindung mit dem Eingrenzungsvorhaben der Pandemie stehen. Unit 42 beobachte zudem weitere Cyberbedrohungen mit COVID-19-Themen. Dieser Trend dürfte sich in den kommenden Wochen fortsetzen, so die Einschätzung der Forscher. Unit 42 plant daher, auch weiter aktuelle Informationen darüber zu liefern, wie Kriminelle die andauernde COVID-19-Pandemie ausnutzen.
Weiter Informationen stehen unter www.paloaltonetworks.com zur Verfügung.
Lesen Sie mehr zum Thema
