In Zeiten globaler Krisen gehören Cyberkriminelle zu den Ersten, die versuchen, mit der Angst und Unsicherheit der Menschen Geld zu verdienen. Das ist auch bei COVID-19 nicht anders. Ein Überblick über die gefährlichsten Cyberbedrohungen der Pandemie.
Im gleichen Tempo wie sich COVID-19 zur globalen Krise ausweitete, gelang es auch Cyberkriminellen, ihre Taktiken, Techniken und Prozesse (TTPs) an das „New Normal“ anzupassen. Zwar gab es zu Beginn der Pandemie noch Akteure, die auf Online-Foren und einschlägigen Marktplätzen öffentlich bekundeten, die Lage nicht für ihre Zwecke ausnutzen zu wollen. Dieses Zugeständnis währte jedoch nicht lange – auch weil die Voraussetzungen für Phishing-Kampagnen, Ransomware-Angriffe und Datenhacks geradezu ideal waren. Die Angst vor dem Virus, fehlende oder widersprüchliche politische Maßnahmen und wirtschaftliche Engpässe sorgten für große Unsicherheit in der Bevölkerung. Gleichzeitig verlagerte sich das Privat- und Arbeitsleben mit rasendem Tempo ins Internet. Das vergrößerte nicht nur die Zahl der möglichen Angriffsziele, sondern auch die Angriffsfläche insgesamt.
Wie flexibel und schnell Cyberkriminelle auf die Dynamik der Corona-Ereignisse reagierten lässt sich gut an der Vielzahl an neuen und alten Betrugsmethoden verdeutlichen, die im letzten Jahr im Open-, Deep- und Dark-Web in Verbindung mit COVID-19 auftauchten:
Phishing-Kampagnen und Fake-Webseiten
Täuschend ähnliche Online-Auftritte von Gesundheitsorganisationen und Behörden, falsche Wissenschaftsportale und Ärzteverzeichnisse sowie E-Mails mit Links zu vermeintlich wichtigen Unterlagen – Fake-Domains bzw. Fake Webseiten sind schnell erstellt und verbreitet. So war es kaum überraschend, als die Zahl der registrierten Domains, die COVID oder Corona im Namen führten, im letzten Jahr regelrecht explodierte. Der Threat-Intelligence-Experte Digital Shadows zählte allein von Januar bis März 2020 über 1.400 solcher Domains. Selbst wenn die Mehrheit davon durchaus legitim ist, verfolgen viele dieser Seiten betrügerische Absichten.
Angreifern gelingt es auf diese Weise immer wieder, personenbezogene Daten abzugreifen, Login-Daten zu stehlen und gefährliche Malware in ein System einzuschleusen. In Japan tauchten schon früh falsche Emails von Sozialhilfediensten und Gesundheitseinrichtungen auf, die beim Herunterladen der angehängte Dokumente den Banking-Trojaner Emotet installierten. Die teilweise mangelhafte Impfstrategie macht es Cyberkriminellen zudem sehr einfach, den wachsenden Unmut der Bevölkerung auszunutzen und Menschen dazu zu bewegen, sich in imaginäre Wartelisten einzutragen, Impftermine zu buchen. Dass sie mit dem Klick auf verdächtige URLs hochsensible Daten preisgeben, wird vielen erst hinterher klar.
Home-Office und Remote-Zugänge
Der Boom des Home-Offices hat diese prekäre Lage in Sachen Cybersicherheit zusätzlich verschärft. Viele Unternehmen waren gezwungen, in kürzester Zeit Remote-Zugänge bereitzustellen, Rechner in die Cloud zu holen und Software-as-a-Service (SaaS)-Ressourcen zu erwerben. IT-Sicherheit und Cyberschutz blieben oft notgedrungen auf der Strecke. Die Folgen ließen nicht lange auf sich warten und beschränkten sich nicht nur auf Phishing-Kampagnen.
So schnellte beispielsweise der Handel mit kompromittierten bzw. gehackten Fernzugriffen (Remote Access) im Dark Web in die Höhe und schuf den Ausgangspunkt für eine Flut an Ransomware-Angriffen, die bis heute anhält. Bei einer Analyse der bekanntesten Marktplätze zählten die Sicherheitsanalysten von Digital Shadows über 500 Angebote rund um Remote Desktop Protocol (RDP), Virtual Private Networks (VPN) und Citrix-Gateways. Die Nachfrage ist groß und die Preise steigen. Durchschnittlich zahlen Angreifer rund 7.100 US-Dollar für einen kompromittierten Zugang.
Zu den am häufigsten gehandelten Fernzugriffen gehören VPNs, die von Unternehmen genutzt werden, um eine sichere Verbindung zwischen dem eigenen Netzwerk und den Geräten von Mitarbeitern aufzubauen. Auch das RDP von Microsoft steht im Visier von Cyberkriminellen. Das Netzwerkprotokoll erlaubt es Mitarbeitern im Home-Office, auf ihre Dateien zuzugreifen und Anwendungen zu öffnen – ganz so als ob sie vor ihrem Desktop-Rechner im Büro sitzen. In den falschen Händen kann RDP jedoch dazu genutzt werden, um Daten abzugreifen, das System zu infiltrieren und Malware einzuschleusen. Tatsächlich wird laut FBI in 70-80% von Ransomware-Angriffen RDP als Einfallstor missbraucht.
Schwarzhandel im Dark-Web
Inmitten der weltweiten Verknappung bei Hygieneartikeln und medizinischen Gütern erblühte im Dark Web ein neuer Markt für gefälschte Produkte. Als in Apotheken die Gesichtsmasken und Desinfektionsmittel aus den Regalen verschwanden, überschlugen sich zwielichtige Webseiten mit Sonderangeboten und Rabatten für entsprechende Waren. Nachdem Hydroxychloroquin als vermeintliche Wunderwaffe gegen den Virus die Runde machte, wurde der Arzneistoff umgehend ins Portfolio aufgenommen. Und seit der Entwicklung wirksamer Impfstoffe Ende des Jahres handeln die Marktplätze, die normalerweise Drogen, Waffen und Pornographie verkaufen, mit AstraZeneca und Biontech. Der Preis für eine Dosis erreicht dabei bis zu 500 US-Dollar.
Wie bei allen Waren auf dem Schwarzmarkt ist auch die Herkunft dieser Impfstoffe eher zweifelhafter Natur. Bestenfalls bestehen sie aus Kochsalzlösung, im schlechtesten Fall sind sie gesundheitsschädigend. Neben dem Risiko, Betrügern auf dem Leim zu gehen besteht zudem die Gefahr, einer Phishing-Kampagne zum Opfer zu fallen. Von der Tatsache, dass der Handel mit Corona-Impfstoffen illegal ist, ganz zu schweigen.
Impfstoff als Angriffsziel
Überhaupt hat die Entwicklung eines COVID-19 Impfstoffs sowie seine Distribution die Angriffsfläche für Cyberkriminelle eher vergrößert als verkleinert. Wie Sicherheitsbehörden in den USA, Kanada und Großbritannien bereits im Sommer 2020 mitteilten, entwickelte die russische Hackergruppe APT29 (Cozy Bear) eine Malware, um Forschungseinrichtungen und Pharmaunternehmen auszuspionieren. Eine globale Phishing-Kampagne wiederum verschickte im Namen eines Mitgliedsunternehmen der Cold Chain Equipment Optimization Platform (CCEOP) gefährliche Links. Die Plattform übernimmt eine wichtige Rolle bei der Sicherstellung der Kühlkette des COVID-Impfstoffs. Ziel war es, Anmeldedaten von Mitarbeitern abzugreifen, sich Zugang zu Unternehmensnetzwerken zu verschaffen und sensible Informationen über die Logistikpläne abzurufen.
Betrug bei Corona-Soforthilfen
Als Reaktion auf die wirtschaftlichen Folgen von COVID-19 riefen viele Regierungen Ad-hoc-Maßnahmen ins Leben, darunter Überbrückungshilfen für Unternehmen, Selbstständige und Privatpersonen, Steuerentlastungen sowie höheres Arbeitslosengeld.
Cyberkriminelle können hier gleich zweimal zuschlagen: Zum einen nutzen sie synthetische Identitäten, falsche Adressen und fiktive Firmen, um entsprechende Anträge zu stellen und Corona-Soforthilfen abzukassieren. Zugute kommt dem Betrüger dabei die hohe Fehleranfälligkeit der Antragsverfahren, die aus Gründen der Kontaktbeschränkungen meist digital und im Schnelldurchgang abgewickelt werden. Zum anderen ergibt sich auch hier die Möglichkeit zum Phishing. So warnt das Bundesfinanzministerium nach wie vor eindrücklich vor Betrügern, die falsche Anträge auf Corona-Hilfen anbieten, um so an persönliche Informationen und Finanzdaten zu gelangen.
Desinformation und Fake-News
Fake News verbreiten sich mit Hilfe von sozialen Netzwerken und privaten Nachrichtenplattformen ähnlich schnell wie das Virus selbst. Nicht immer steckt hinter dem Teilen und Weiterleiten falscher Informationen eine böse Absicht. Trotzdem tragen sie dazu bei, Panik zu verbreiten, Versorgungsengpässe anzuheizen und Schutzmaßnahmen zu untergraben. Die Desinformation reicht von DYI-Rezepturen zur Herstellung von Desinfektionsmitteln über gefälschte Statistiken zu Infektionszahlen und Inzidenzwerten bis hin zu gefährlichen Kampagnen von Impfgegnern.
Schon früh stellte die WHO ein spezielles Team ab, um der Verbreitung falscher Informationen entgegenzuwirken. Auch Social-Media-Plattformen versuchen mittlerweile proaktiv, Fake News zu COVID-19 zu unterbinden, indem sie entsprechende Nachrichten kennzeichnen und eine Überprüfung durch Drittorganisationen veranlassen. Die Flut der Fake News hat das bislang jedoch nicht gestoppt.
COVID-19 hat Cyberkriminalität zwar nicht neu erfunden. Die schnelle Anpassungsfähigkeit und Kreativität von Betrügern und Bedrohungsakteuren beweist jedoch erneut die wachsende Industrialisierung und Professionalisierung der Branche. Die erste Waffe im Kampf gegen cyberkriminelle Aktivitäten bleibt dabei die Aufklärung sowie das Monitoren externer digitaler Risiken. Nur so lässt sich die eigene Bedrohungslage besser bewerten – sei es, um die Mitarbeiter im Home-Office zu schützen, Datenleaks und Reputationsschäden als Unternehmen zu verhindern oder sich als privater Nutzer sicher im Internet zu bewegen.
Von Stefano de Blasi, Threat Researcher Digital Shadows
