Naast de uitdagingen die Covid-19 met zich meebrengt op gezondheidsniveau, verandert er ook van alles op securityniveau. Sommige organisaties werken al jarenlang op afstand en schalen simpelweg bestaande oplossingen en beleid op. In veel andere omgevingen is thuiswerken een buitenlands concept: hun technologie, activiteiten en beleid zijn niet voorbereid op deze nieuwe realiteit. Cybercriminelen zijn zich terdege bewust van deze uitdagingen en maken handig misbruik van de situatie.
Deze blog biedt een overzicht van tactieken en waargenomen cyberdreigingen vanaf januari 2020 tot en met publicatie.
Tactiek-highlight: phishing
Huidige phishing-aanvallen beloven nieuwe informatie over het virus of updates over officiële richtlijnen te hebben. Phishing-campagnes lokken mensen door gezondheidsrichtlijnen, quarantaine- en infectie-updates aan te bieden. Dit zal de komende maanden alleen maar toenemen.
Zo meldde het Australian Cyber Security Centre (ACSC) op 16 maart een tekst phishing scam die beweerde advies te geven over lokale COVID-19-testfaciliteiten. De URL in de tekst toonde de banking trojan Cerberus die via een kwaadaardig Android-applicatiepakket werd geactiveerd.
De dreiging van phishing-campagnes die proberen officiële zakelijke communicatie na te bootsen neemt waarschijnlijk toe
Naast phishing-aanvallen die gefocust zijn op gezondheidsinformatie, bestaat ook de kans dat cybercriminelen profiteren van de vele thuiswerkers. Dit betreft vooral aanvallen waarin bedrijfsrichtlijnen en -procedures, human resources-correspondentie en IT-problemen worden vervalst. In een situatie waarin werknemers in toenemende mate zullen vertrouwen op e-mailcommunicatie om hun werkzaamheden voort te zetten, neemt de dreiging van phishing-campagnes die proberen officiële zakelijke communicatie na te bootsen, waarschijnlijk toe.
Tactiek-highlight: remote services onder vuur
Veel bedrijven zullen het gebruik van Software as a Service (SaaS) en cloud-gebaseerde diensten vergroten om thuiswerkende medewerkers te ondersteunen. Cybercriminelen proberen voortdurend inloggegevens voor deze diensten te verzamelen, waardoor ze mogelijk toegang kunnen krijgen tot SaaS-accounts en bedrijfsgegevens. Met name enterprise-ransomware, ook wel ‘big game hunting’ (BGH) genoemd, gebruikt Remote Desktop Protocol (RDP) brute forcing of password spraying. Aangezien veel geavanceerde BGH-organisaties op dit moment actief blijven, zullen criminelen proberen te profiteren van mogelijke personeelsstoringen die Covid-19 kan veroorzaken. Daarnaast proberen ze apparaten van thuiswerkers op te eisen.
>> LEES OOK: SECURITYPROFESSIONALS OVER DE GEVOLGEN VAN DE CORONACRISIS
- De ervaringen van Aad de Vries, directeur van SERIS.
- Piet van Egmond, manager Beveiliging & Crisismanagement van het Leids Universitair Medisch Centrum (LUMC).
- De ervaringen van Michel de Jong, voorzitter van het ASIS Benelux Chapter en Head of Global Security bij COFRA.
Tactiek-highlight: vishing en robocalls
Thuiswerken brengt nog andere gevolgen met zich mee. Met bijvoorbeeld spraakphishing (vishing) of robocall-oplichting wordt een werksituatie nagebootst. Een deel van deze oproepen was in eerste instantie gericht op de Amerikaanse westkust, maar ook op de transport- en reissector. In sommige gevallen kan vishing worden gecombineerd met smishing (sms-berichten) om dergelijke oplichting te plegen of om schadelijke inhoud op mobiele apparaten te laden.
CrowdStrike Intelligence heeft naast bovenstaande tactieken, andere recente activiteiten ontdekt:
- Op 23 maart bleek dat sommige in Europa gevestigde ziekenhuizen het slachtoffer waren geworden van een Netwalker-ransomware-incident (ook bekend als KazKavKovKiz, Mailto, Mailto2 en KoKo). Het incident begon naar verluidt op 22 maart 2020 en gebruikte het coronavirus als lokmiddel.
- Gedurende de maand maart heeft de RedLine Stealer Covid-19 spam gebruikt die naar verluidt afkomstig is van een project dat de effectiviteit van mogelijke remedies evalueert.
- De Wizard Spiders, een eCrime groep, richten zich specifiek op Italiaanse financiële instituten. Dit komt hoogstwaarschijnlijk door de toename van internetbankieren in het land vanwege de lockdown.
- Op 18 maart werd een sample van Nemty ransomware (v2.6) gedetecteerd, gericht op een overheidsinstantie. De e-mail spoofde het hoofd van een gezondheidsorganisatie en verwees naar een jaarlijkse algemene vergadering die naar verluidt gepland was om de pandemie te bespreken.
- CrowdStrike Intelligence heeft sinds eind februari 2020 lopende MUSTANG PANDA-activiteit waargenomen waarin Covid-19 wordt gebruikt als lokmiddel. Waargenomen incidenten hebben kwaadaardige snelkoppelingsbestanden (LNK) gebruikt om afleidingsdocumenten in het Chinees, Engels en Vietnamees achter te laten.
- Op 18 maart 2020 kondigde TWISTED SPIDER aan dat het zich zal onthouden van het infecteren van medische organisaties totdat de situatie stabiliseert.
- Hacktivisme, met name in Latijns-Amerika en Europa, zal waarschijnlijk toenemen naar aanleiding van hacktivistische activiteiten van de afgelopen week. Het afgelopen jaar was hacktivisme in Latijns-Amerika al actiever dan normaal, voornamelijk als gevolg van politieke onrust in een groot deel van de regio. Deze campagnes zullen waarschijnlijk toenemen naarmate andere protestopties kleiner of onmogelijk worden.
- Onlangs heeft de Mummy Spider de corona-uitbraak uitgebaat middels een spam-e-mailthema. De e-mails werden verzonden met behulp van een e-mail thread-hijacking techniek en leidde uiteindelijk tot het downloaden van Emotet malware. Tot nu toe hebben de geïdentificeerde e-mails voornamelijk de Japanse taal gebruikt en het openbare gezondheidscentrum van de Kyoto-prefectuur Yamashiro Minami gespoofd.
Aanvullende eCrime-bedreigingen
Naast deze activiteiten zijn er meerdere campagnes geïdentificeerd die aanvullende eCrime-bedreigingen verspreiden, zoals Gozi ISFB, Nemty ransomware, SCULLY SPIDER’s DanaBot, GRACEFUL SPIDER’s GetAndGo Loader en de op Latijns-Amerika gerichte malware Kiron.
Aanbevelingen om Covid-19-oplichting tegen te gaan
Naarmate de wereldwijde corona-uitbraak groeit, zullen cybercriminelen de situatie blijven misbruiken. Het is absoluut noodzakelijk dat bedrijven en werknemers zich bewust zijn van de mogelijke cyberdreigingen waarmee ze worden geconfronteerd als ze overstappen op alternatieve bedrijfsapplicaties of -services, en dat ze worden geïnformeerd over de onmiddellijke stappen die ze kunnen nemen om potentiële risico’s te beperken. Een sterk defensieve houding is nodig. Zorg ervoor dat externe services, VPN’s en authenticatieoplossingen volledig zijn gepatcht en op de juiste manier zijn geïntegreerd. Biedt daarnaast training in security awareness aan aan werknemers die thuis werken. Op deze manier blijf je alert in deze onvoorspelbare tijd.
Adam Meyers, vice-president Intelligence bij CrowdStrike
– Thuiswerken? Zo communiceer je veilig digitaal met elkaar
– Thuiswerker perfect slachtoffer voor cybercriminelen
– Coronavirus: van crisismanagement naar structureler risicomanagement
– “De impact van de coronacrisis op de beveiligingsbranche is enorm”
– Beveiliging wordt gezien als cruciale beroepsgroep