Cybercrime
News 18 maart 2020

Coronavirus zorgt voor zeldzame hoeveelheid zelfde typen cyberaanvallen

Onderzoekers bij Proofpoint rapporteren een ongekend hoog aantal cyberaanvallen die inhaken op het coronavirus. De onderzoekers spreken van de grootste hoeveelheid cyberaanvallen met hetzelfde thema dat ze in jaren, zo niet ooit, hebben gezien.

Het Proofpoint-team meldt dat ze nieuwe aanvallen heeft gezien van de actieve cybercriminele groepen TA505 en TA564. Deze groepen hebben geavanceerde aanvallen uitgevoerd die gericht zijn op de zorgsector, de productiesector, de farmaceutische industrie en de publieke gezondheidszorg. In totaal hebben de onderzoekers onder andere phishing, schadelijke bijlagen, schadelijke links, Business Email Compromise (BEC), valse webpagina's, downloaders, spam en malware waargenomen die allemaal een coronavirus-thema hadden.

Voorbeelden van aanvallen zijn onder meer:

  • Een malware die RedLine Stealer wordt genoemd. Hierbij wordt een beroep gedaan op mensen om te helpen bij het vinden van een geneesmiddel voor Covid-19 via een gedistribueerd computerproject voor onderzoek. RedLine Stealer wordt te koop aangeboden op Russische illegale fora met prijzen vanaf honderd dollar en is onlangs geüpdatet om cryptocurrency te stelen.
     
  • E-mails die zich richten op “ouders en voogden”. Daarbij wordt een malware meegeleverd die Ursnif heet en informatie kan stelen, zoals bankgegevens. Aanvallers gebruiken de echte naam van de ontvanger om de legitimiteit van de e-mail te vergroten.
     
  • E-mails gericht op organisaties in de gezondheidszorg waarbij geneesmiddelen tegen het coronavirus worden aangeboden in ruil voor Bitcoin.
     
  • Zogenaamde handleidingen over hoe familie en vrienden kunnen worden beschermd tegen het virus. Hierbij werden de ontvangers verzocht om op een schadelijke link te klikken.

De volledige bevindingen zijn via de volgende links te lezen: TA505 RedLine Steale

Reactie van Proofpoints Senior Director of Threat Research and Detection, Sherrod DeGrippo:

“Al meer dan vijf weken heeft ons onderzoeksteam diverse schadelijke e-mailaanvallen met een COVID-19-thema waargenomen. Veel van deze aanvallen gebruiken angst om potentiële slachtoffers ervan te overtuigen dat ze ergens op moeten klikken. Het aantal e-mails dat criminelen per keer versturen varieert van 12 tot meer dan 200.000 en het aantal aanvalscampagnes stijgt. Aanvankelijk zagen we ongeveer één campagne per dag over de hele wereld. Nu zien we er drie tot vier per dag. Deze toename onderstreept hoe aantrekkelijk dit soort wereldwijde ontwikkelingen kunnen zijn voor cybercriminelen. 

De COVID-19-cyberaanvallen zijn een goed voorbeeld van social engineering op grote schaal. Cybercriminelen weten dat mensen op zoek zijn naar veiligheidsinformatie en zijn daardoor eerder geneigd om te klikken op mogelijk schadelijke links of om bijlagen te downloaden. Ongeveer zeventig procent van de e-mails die het onderzoeksteam van Proofpoint heeft ontdekt, bevat malware. Nog eens dertig procent van de e-mails is bedoeld om de gegevens van het slachtoffer te stelen. De meeste van deze e-mails proberen inloggegevens te stelen met behulp van valse landingspagina's die lijken op Gmail of Office 365 en vragen mensen om hun gebruikersnaam en wachtwoord in te voeren.”