Public Manager
14.04.2020 | Gesundheitswesen und Hygiene, Sicherheit

Neue Erkenntnisse von Palo Alto Networks

Die Annahme seitens verschiedener Quellen, dass einige Bedrohungsaktivitäten von Cyberangreifern während der COVID-19-Pandemie nachlassen könnten, hat sich als falsch erwiesen. Unit 42, die Forschungsabteilung von Palo Alto Networks, hat insbesondere im Bereich der Phishing-Angriffe, genau das Gegenteil beobachtet.

In einem aktuellen Blogpost liefert Unit 42 ein gründliches Bild und eine solide technische Analyse der verschiedenen Arten von COVID-19-Themen, mit denen Organisationen während der laufenden Pandemie konfrontiert sein können. 

Insbesondere befassen sich die Forscher mit einer Ransomware-Variante (EDA2), die bei Angriffen auf eine Gesundheitsorganisation der kanadischen Regierung und eine medizinische Forschungsuniversität in Kanada beobachtet wurde. Behandelt wird zudem eine Infostealer-Variante (AgentTesla), die bei Angriffen auf verschiedene andere Ziele beobachtet wurde: darunter eine Forschungseinrichtung des US-Verteidigungsministeriums, eine türkische Regierungsbehörde, die öffentliche Aufträge verwaltet, mehrere große Technologie- und Kommunikationsunternehmen mit Sitz in Kanada, Deutschland und England sowie medizinische Organisationen/ Forschungseinrichtungen in Japan und Kanada. Keines der in diesem Blog erwähnten Malware-Samples konnte ihre beabsichtigten Ziele erreichen. 

Zwischen dem 24. März 2020, 18:25 UTC, und dem 26. März, 11:54 UTC, beobachtete Unit 42 mehrere bösartige E-Mails, die von der gefälschten Adresse noreply@who[.]int (die Absender-IP-Adresse zum Zeitpunkt des Angriffs war 176.223.133[.]91) gesendet wurden. Die Adressaten waren mehrere Personen bei einer Gesundheitsorganisation und einer Universität in Kanada, die COVID-19-Maßnahmen planen bzw. -Forschung betreiben. Die E-Mails enthielten alle einen bösartigen Phishing-Locker im Rich Text Format (RTF). Wenn dieser mit einer anfälligen Anwendung geöffnet wurde, versuchten die Angreifer, eine Ransomware-Nutzlast über eine bekannte Sicherheitslücke in einer Microsoft-Komponente, CVE-2012-01, auszuliefern. 

Ziel von Unit 42 ist es, ein tieferes Verständnis für einige der Arten von cyberkriminellen Kampagnen zu vermitteln, mit denen mehrere kritische Branchen konfrontiert sind, die sich mit den dringenden Reaktionsbemühungen für die COVID-19-Pandemie befassen. Aus diesen Fällen wird deutlich, dass die Angreifer bevorzugt Organisationen ins Visier nehmen, die an vorderster Front engagiert sind, um auf die Pandemie zu reagieren. Unit 42 beobachtet zudem weitere Cyberbedrohungen mit COVID-19-Themen – und dieser Trend dürfte sich in den kommenden Wochen fortsetzen. Unit 42 wird daher weiterhin aktuelle Informationen liefern, wie die andauernde COVID-19-Pandemie von Cyberkriminellen ausgenutzt wird.