MCAFEE LABS THREATS-REPORT ZU COVID-19 - JULI 2020
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
McAfee Labs Threats-Report zu COVID-19 Juli 2020
BERICHT
Das beherrschende Thema 2020 sind Dieser Bericht wurde
recherchiert und geschrieben
die massiven Cyber-Angriffe und deren
von:
• Christiaan Beek
Auswirkungen auf unsere Gesellschaft.
• Taylor Dunton
• Dan Flaherty
• Lynda Grindstaff
• Steve Grobman
Einleitung
• Tracy Holden
Was für ein Jahr! Was mit einer Handvoll Phishing-Kampagnen und gelegentlichen • Tim Hux
manipulierten Apps begann, hat sich schnell zu einer Lawine entwickelt. Mit Tausenden • Abhishek Karnik
böswilligen URLs und ausgefeilten Bedrohungsakteuren wurde immer wieder versucht, • Sriram P
unseren Wissensdurst auszunutzen, um sich weltweit Zugang zu Systemen zu verschaffen. • Tim Polzer
• Thomas Roccia
In dieser Sonderausgabe des Threats-Reports möchten wir näher auf solche COVID-19-
• Raj Samani
bezogenen Angriffe eingehen. Zusätzlich haben wir ergänzend zu diesem Threats-Report
• Sekhar Sarukkai
das McAfee-Dashboard für Bedrohungen mit COVID-19-Bezug ins Leben gerufen. Somit
• Craig Schmugar
bleibt der Nutzen des Berichts auch nach seiner Veröffentlichung erhalten.
Zeitgenaue Informationen sind bei jedem Threats-Report eine große Herausforderung.
Dank der Entwicklung von MVISION Insights lassen sich unsere Berichte mit einem
Dashboard verknüpfen, das die weltweit größten Bedrohungen live verfolgt. Wir haben
uns dazu verpflichtet, unsere Erkenntnisse als nützliche Handlungsgrundlage an Sie
weiterzugeben, und stellen Ihnen in diesem Rahmen auch die Kompromittierungs
indikatoren (IoCs), Yara-Regeln und die Zuordnung zum MITRE ATT&CK-Framework
zur Verfügung. Ich hoffe, dass diese McAfee-Ressourcen für Sie hilfreich sind.
Folgen
Teilen
2 McAfee Labs Threats-Report zu COVID-19: Juli 2020
BERICHT HAUPTARTIKEL
Das beherrschende Thema 2020 sind die massiven
Cyber-Angriffe und deren Auswirkungen auf unsere
Gesellschaft. Viel zu oft werden wir um Untersuchungen
gebeten, nachdem Unternehmen bereits zum Stillstand
gekommen sind oder Betroffene viel Geld verloren
haben. Während wir bedingt durch die Pandemie im
Lockdown verharrten, schlug für Kriminelle aller Art die
große Stunde.
Wir hoffen, dass die neuen Ansätze in diesem Threats-
Report eine wertvolle Unterstützung für Sie sind, und
würden uns freuen, wenn Sie diese Erkenntnisse weiter
verbreiten. Diese Tools und Erkenntnisse können für
Unternehmen den Ausschlag geben. Sie entscheiden
mitunter darüber, ob ein Business seinen Betrieb
fortsetzen kann oder seine Pforten schließen muss –
und das in einer Zeit, in der es ohnehin genügend
andere Herausforderungen zu bewältigen gibt.
Herzlichen Dank für Ihr Interesse!
– Raj Samani, McAfee Fellow und Chief Scientist
Twitter @Raj_Samani
Folgen
Teilen
3 McAfee Labs Threats-Report zu COVID-19: Juli 2020
Inhalt
6 Cyber-Bedrohungen 18 Malware, Phishing
mit COVID-19-Bezug – und Trojaner
Verläufe, Verteilung
und Erkennung 30 Ransomware
7 Bedrohungen für 32 Spam-Nachrichten
Branchen und Regionen und Betrugsversuche
10 Statistische 33 Untergrundmärkte
Bedrohungsdaten
35 URL-Betrug
14 Bedrohungsakteure
nehmen die Cloud 39 Empfehlungen
ins Visier
4 McAfee Labs Threats-Report zu COVID-19: Juli 2020
BERICHT HAUPTARTIKEL
Wenig überraschend haben es opportunistische Cyber- Unter dem Deckmantel von COVID-19 versuchen Cyber-
Kriminelle auf Mitarbeiter abgesehen, die während der Kriminelle, mit entsprechender Ransomware, RDP-
COVID-19-Pandemie von zu Hause aus arbeiten. Die Exploits, betrügerischen URLs und Spam-Nachrichten,
Notwendigkeit der Unternehmen, ihre Mitarbeiter nahezu Remote-Mitarbeiter in die Falle zu locken. Durch das
über Nacht in Quarantäne zu versetzen, hat SOCs und Klicken auf einen nicht verifizierten Link oder unbedachtes
CTOs vor völlig neue Herausforderungen gestellt. So Öffnen eines Anhangs sowie andere Tricks werden
musste unter anderem ein sicheres Home Office-Modell Benutzer dazu verleitet, ein ganzes Arsenal an Malware
von beispiellosem Ausmaß implementiert werden. freizusetzen. Die dabei zum Einsatz kommenden Taktiken
und Verfahren sind speziell darauf ausgelegt, verbreitete
Die Bereitstellung ausreichender Zusammenarbeits- und
Schwachstellen auszunutzen und sich Zugang zu internen
Produktivitätssysteme zur effizienten Unterstützung
Unternehmensressourcen zu verschaffen.
der Mitarbeiter im Home Office verlangte ein höheres
Maß an persönlicher Cyber-Hygiene. Schließlich musste Seit Erscheinen der ersten Berichte über das Coronavirus
die privat verfügbare Bandbreite der Mitarbeiter mit haben die Forscher von McAfee den Schwerpunkt ihrer
den technischen Anforderungen ihrer Jobs in Einklang Sicherheitsuntersuchungen und ihrer Ressourcen auf die
gebracht werden. Im Home Office sind Mitarbeiter Taktiken und Verfahren gelegt, die Cyber-Kriminelle mit
jedoch auch abgelenkt durch verschiedenste Ängste, fortschreitender Pandemie immer weiter ausgebaut haben.
die der Wegfall von Normalität und Routine mit sich Wir setzen uns kontinuierlich dafür ein, unsere Kunden
bringt. Die Bedürfnisse der Familie zu erfüllen und und unsere Sicherheits-Community zu schützen. Dazu
gleichzeitig den Anforderungen der Quarantäne zu überwachen und modifizieren wir unseren Erkennungs-
genügen – wie Social Distancing und das Tragen von Stack, um die Bedrohungen mit COVID-19-Bezug besser in
persönlicher Schutzausrüstung, Versorgungsengpässe, den Griff zu bekommen. Im McAfee-Bedrohungszentrum
steigende Arbeitslosigkeit und das völlige Erliegen finden Sie die neuesten Informationen zur Entwicklung von
von Planbarkeit – tragen das ihre dazu bei. Für Cyber- COVID-19-Bedrohungen.
Kriminelle sind abgelenkte und verunsicherte Mitarbeiter
im Home Office ideale Ziele.
Folgen
Teilen
5 McAfee Labs Threats-Report zu COVID-19: Juli 2020
BERICHT HAUPTARTIKEL
Cyber-Bedrohungen mit COVID-19-Bezug –
Verläufe, Verteilung und Erkennung
IoCs mit
COVID-19-Bezug
Verbreitete Malware-Familien,
die auf COVID-19 setzen
Aufkommen
Cyber-Kriminelle haben sich schnell angepasst und nutzen
die Pandemie als Gelegenheit für themenbezogene Angriffe.
16. Februar 23. Februar 1. März 8. März 15. März 22. März 29. März 5. April 12. April 19. April 26. April
2020
Woche
JANUAR FEBRUAR MÄRZ APRIL
Schadenspotenzial
Sehr großer Schaden
Großer Schaden
COVID-19- NanoCore
Ransomware RAT
Mittlerer Schaden
Geringer Schaden
Quelle: McAfee, LLC Folgen
Teilen
6 McAfee Labs Threats-Report zu COVID-19: Juli 2020
BERICHT HAUPTARTIKEL
Bedrohungen für Branchen und Regionen
Der Umfang der mit COVID-19 in Verbindung gebrachten
Bedrohungen ist erheblich, wobei bei allen Arten von
Angriffen Köder eingesetzt werden.
McAfee beobachtet in fast allen von COVID-19 betroffenen
Ländern böswillige Aktivitäten – allerdings mit sehr
unterschiedlichem Volumen.
Diagramm der globalen Erkennungen
Das McAfee-Dashboard für Bedrohungen mit COVID-
19-Bezug basiert auf Daten, die von der McAfee
Advanced Programs Group (APG) erfasst und täglich
aktualisiert werden. Mitte Januar hat McAfee erstmals
bekannte Kompromittierungsindikatoren (IoCs) entdeckt.
Inzwischen gab es in fast allen von der COVID-19-
Pandemie betroffenen Länder Erkennungen.¹
Folgen
Abbildung 1. Ergänzend zum vorliegenden Bericht bietet das
Teilen
Dashboard für Bedrohungen mit COVID-19-Bezug kontinuierlich
aktuelle Erkenntnisse. Die McAfee Advanced Programs Group
(APG) stellt täglich neue Informationen zur Verfügung.
7 McAfee Labs Threats-Report zu COVID-19: Juli 2020
BERICHT HAUPTARTIKEL
Öffentlich bekannt gegebene
Sicherheitsvorfälle nach Region Top 10 der angegriffenen Länder
(Anzahl der gemeldeten Kompromittierungen)
450 250
400
200
350
150
300
250 100
200 50
150
0
USA
Mehrere
Unbekannt
Großbritannien
Italien
Frankreich
Indien
Kanada
Spanien
Deutschland
Australien
100
50
0
4. Q. 1. Q.
2019 2020
4. Q. 2019 1. Q. 2020
Nordamerika Mehrere Europa Asien Australien
Quelle: McAfee Labs, 2020. Quelle: McAfee Labs, 2020.
Abbildung 2. Im ersten Quartal 2020 zählte McAfee Labs 458 öffentlich Abbildung 3. Die gemeldeten Zwischenfälle mit Ziel USA stiegen
gemeldete Sicherheitsvorfälle, einschließlich solcher, bei denen das im 1. Quartal 2020 im Vergleich zum letzten Quartal um 61 %, in
regionale Ziel nicht zutreffend war. Dies entspricht einem Anstieg von Großbritannien stiegen die Zahlen um 55 % und in Kanada um 50 %.
41 % gegenüber dem 4. Quartal 2019. Die offengelegten Zwischenfälle
mit Ziel Nordamerika stiegen im Vergleich zum vorherigen Quartal um
60 %, in Europa ging die Zahl um 7 % zurück.
Folgen
Teilen
8 McAfee Labs Threats-Report zu COVID-19: Juli 2020
BERICHT HAUPTARTIKEL
Top 10 der angegriffenen Branchen Top 10 der Angriffsvektoren
100 225
90 200
80
175
70
150
60
125
50
100
40
75
30
20 50
10 25
0 0
Einzelpersonen
Mehrere Branchen
Öffentlicher Sektor
Gesundheitswesen
einrichtungen
Bildungs-
Versicherungen
Finanzen/
unternehmen
Fertigungs-
Technologie
Großhandel
Einzelhandel/
Unterhaltung
Malware
Kontokaperung
Gezielter Angriff
Unbekannt
Böswillig
Schwachstelle
DDoS
Kassensystem-Malware
Spam
SQLi
Schädliches Skript
E-Mail-Adresse
Geschäftliche
Konfiguration
Fehlerhafte
4. Q. 2019 1. Q. 2020 4. Q. 2019 1. Q. 2020
Daten zu Sicherheitsvorfällen, die McAfee Labs aus mehreren Quellen zusammengestellt hat. Daten zu Sicherheitsvorfällen, die McAfee Labs aus mehreren Quellen zusammengestellt hat.
Abbildung 4. Die im 1. Quartal 2020 erkannten und offengelegten Abbildung 5. Im 1. Quartal 2020 führte Malware die Liste der
Zwischenfälle, die sich gegen mehrere Branchen richteten, offengelegten Angriffsvektoren an, gefolgt von gehackten Konten
stiegen um 94 %. Im öffentlichen Sektor betrug der Anstieg 73 %, und gezielten Angriffen. Offengelegte Malware-Angriffe stiegen im
bei Einzelpersonen 59 % und in der Fertigung 44 %. Im Bereich Vergleich zum vorherigen Quartal um 33 %, Angriffe auf Konten um
Wissenschaft und Technik ist die Zahl der Zwischenfälle hingegen 71 % und gezielte Angriffe um 60 %.
um 19 % gesunken.
Folgen
Teilen
9 McAfee Labs Threats-Report zu COVID-19: Juli 2020
BERICHT HAUPTARTIKEL
Statistische Bedrohungsdaten ■ Neue Ransomware-Varianten: minus 12 %.
Im 1. Quartal 2020 wurde in mehreren Bedrohungs
■ Die Zahl neue böswilliger signierter Binärdateien ging
kategorien ein erheblicher Anstieg verzeichnet: um 11 % zurück.
■ McAfee Labs stellte im 1. Quartal 2020 pro Minute Gesamtanzahl aller Malware-Varianten
375 Bedrohungen fest.
1.350.000.000
■ Im Vergleich zum vorherigen Quartal wurde im 1. Quartal
1.200.000.000
2020 bei neuen PowerShell-Malware-Varianten ein
1.050.000.000
Anstieg um 689 % verzeichnet. Dieser Anstieg ist
900.000.000
größtenteils auf die Donoff-Familie der TrojanDownloader 750.000.000
zurückzuführen. Donoff spielte außerdem eine wichtige 600.000.000
Rolle bei dem Anstieg um 412 %, der im 1. Quartal 2020 450.000.000
bei neuen Makro-Malware-Varianten verzeichnet wurde. 300.000.000
■ Die Zahl der PowerShell-Malware-Varianten stieg in 150.000.000
den letzten vier Quartalen insgesamt um 1.902 %. 0
3. Q. 4. Q. 1. Q.
■ Neue Mobilgeräte-Malware-Varianten stiegen während 2019 2020
des 1. Quartals 2020 im Vergleich zum vorherigen Quelle: McAfee Labs, 2020.
Quartal um 71 %, hauptsächlich bedingt durch Trojaner.
■ Die Zahl der Mobilgeräte-Malware-Varianten stieg in
den letzten vier Quartalen insgesamt um fast 12 %.
■ Die Zahl neuer IoT-Malware-Varianten (58 %) und Neue PowerShell-Malware-Varianten
neuer macOS-Malware-Varianten (51 %) legten um 1.600.000
mehr als 50 % zu. 1.400.000
■ Die Zahl neuer Coin Miner-Malware-Varianten stieg
1.200.000
um 26 %.
1.000.000
■ Neue Linux-Varianten verzeichneten ein Plus von 8 %.
800.000
Bei den folgenden Kategorien wurde im 1. Quartal 2020 600.000
im Vergleich zum vorherigen Quartal eine rückläufige 400.000
Entwicklung festgestellt: 200.000 Folgen
0
■ Neue Exploit-Malware-Varianten: minus 56 %. 3. Q. 4. Q. 1. Q.
Teilen
■ Neue JavaScript-Malware-Varianten: minus 38 %. 2019 2020
■ Neue Malware-Varianten: minus 35 %. Quelle: McAfee Labs, 2020.
10 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Neue Makro-Malware-Varianten Neue Mobilgeräte-Malware-Varianten
1.800.000 1.600.000
1.600.000 1.400.000
1.400.000 1.200.000
1.200.000
1.000.000
1.000.000
800.000
800.000
600.000
600.000
400.000 400.000
200.000 200.000
0 0
3. Q. 4. Q. 1. Q. 3. Q. 4. Q. 1. Q.
2019 2020 2019 2020
Quelle: McAfee Labs, 2020. Quelle: McAfee Labs, 2020.
Neue IoT-Malware-Varianten Neue iOS-Malware-Varianten
80.000 3.500
70.000 3.000
60.000
2.500
50.000
2.000
40.000
1.500
30.000
1.000
20.000
10.000 500
0 0
3. Q. 4. Q. 1. Q. 3. Q. 4. Q. 1. Q.
2019 2020 2019 2020
Quelle: McAfee Labs, 2020. Quelle: McAfee Labs, 2020. Folgen
Teilen
11 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Neue Coin Miner-Malware-Varianten Neue Malware-Varianten für Linux
5.000.000 150.000
4.500.000
125.000
4.000.000
3.500.000
100.000
3.000.000
2.500.000 75.000
2.000.000
50.000
1.500.000
1.000.000
25.000
500.000
0 0
3. Q. 4. Q. 1. Q. 3. Q. 4. Q. 1. Q.
2019 2020 2019 2020
Quelle: McAfee Labs, 2020. Quelle: McAfee Labs, 2020.
Neue Exploit-Malware-Varianten Neue JavaScript-Malware-Varianten
600.000 7.000.000
500.000 6.000.000
5.000.000
400.000
4.000.000
300.000
3.000.000
200.000
2.000.000
100.000 1.000.000
0 0
3. Q. 4. Q. 1. Q. 3. Q. 4. Q. 1. Q.
2019 2020 2019 2020
Quelle: McAfee Labs, 2020. Quelle: McAfee Labs, 2020. Folgen
Teilen
12 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Neue Malware-Varianten Neue Ransomware-Varianten
80.000.000 2.500.000
70.000.000 2.250.000
2.000.000
60.000.000
1.750.000
50.000.000 1.500.000
40.000.000 1.250.000
30.000.000 1.000.000
750.000
20.000.000
500.000
10.000.000 250.000
0 0
3. Q. 4. Q. 1. Q. 3. Q. 4. Q. 1. Q.
2019 2020 2019 2020
Quelle: McAfee Labs, 2020. Quelle: McAfee Labs, 2020.
Neue böswillige signierte Binärdateien
700.000
600.000
500.000
400.000
300.000
200.000
100.000
0
3. Q. 4. Q. 1. Q.
2019 2020
Quelle: McAfee Labs, 2020. Folgen
Teilen
13 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Bedrohungsakteure nehmen die Cloud ins Visier Interne Bedrohungen und Bedrohungen durch Insider
Laut Microsoft entspricht der plötzliche, massive blieben unverändert, was darauf hinweist, dass Mitarbeiter
Wechsel zum Home Office weltweit einem Wachstum das Arbeiten von zu Hause nicht dazu genutzt haben, mehr
von 775 %.² Bei der Erstellung des McAfee-Berichts zu Daten zu stehlen. Die meisten von McAfee festgestellten
Cloud-Nutzung und Risiken – Ausgabe zu Arbeiten von Angriffe waren externe Cloud-native Bedrohungen, die sich
zu Hause hat McAfee zwischen Januar und April 2020 direkt gegen Cloud-Konten richteten.
die Cloud-Nutzungsdaten von mehr als 30 Millionen
Gesamtanzahl und externe Cloud-Bedrohungen: Januar bis April 2020
McAfee MVISION-Cloud-Nutzern aus der ganzen Welt
Globale Anzahl der Bedrohungen (normalisiert)
14
zusammengefasst und anonymisiert. Die Analyse ergab,
dass die Zahl der Bedrohungen von externen Akteuren, 12
die gezielt Cloud-Dienste angreifen, um 630 % stieg, wobei
10
Zusammenarbeitsdienste wie Microsoft 365 am stärksten
ins Visier gerieten. McAfee unterschied dabei zwischen 8
zwei Kategorien externer Bedrohungen, bei denen in der
6
Regel gestohlene Anmeldeinformationen im Spiel sind:
4
■ Übermäßige Nutzung an ungewöhnlichen
Standorten. Der Angriff startet mit einer Anmeldung 2
von einem Standort, der für diesen Benutzer des
0
Unternehmens ungewöhnlich oder neu ist. Der 2 4 6 8 10 12 14 16
Bedrohungsakteur ruft große Datenmengen ab bzw. Kalenderwoche 2020
greift auf privilegierte Daten zu.
Alle Bedrohungen Extern: Übermäßige Nutzung Extern: Verdächtiger Superheld
■ Verdächtiger Superheld. Mehrere Anmeldeversuche an ungewöhnlichen Standorten
erfolgen von verschiedenen Standorten, die geografisch Abbildung 6. Cloud-Bedrohungsereignisse in allen Branchen.
weit entfernt sind und in der Abfolge unmöglich zu
erreichen wären. McAfee erfasst dieses Verhalten
Cloud‑Dienst-übergreifend. Auffällig ist zum Beispiel,
wenn sich ein Benutzer in Singapur bei Microsoft 365
anmeldet und nur fünf Minuten später in Kalifornien
bei Slack. Folgen
Teilen
14 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Aufschlüsselung nach Branchen: Cloud- McAfee analysierte die bei den Angriffen durch externe
Bedrohungen Akteure verwendeten Quell-IP-Adressen, um den
In den Bereichen Transportwesen und Logistik, Bildungs Ursprungsort der Angriffe zu ermitteln.
einrichtungen und Behörden wurde der stärkste Anstieg Auch wenn die Quell-IP-Adresse keine Attribution
interner und externer Bedrohungsereignisse bei den erlaubt, liefert sie dennoch Erkenntnisse, die sich für die
Cloud-Konten festgestellt. Diese Branchen sind verstärkt Konfiguration von Sicherheitskontrollen nutzen lassen.
von Cloud-Diensten abhängig, um ihre Produktivität Die überwachten IP-Adressen wurden nicht nur für
aufrecht zu erhalten. Dementsprechend passten sich Angriffe auf Cloud-Konten verwendet, sondern auch für
die Angreifer dem Trend an und versuchten nun, Cloud- andere böswillige Aktivitäten, was uns zu der Annahme
Konten zu kompromittieren und Daten zu stehlen. bringt, dass die vorhandene kriminelle Infrastruktur für
Zunahme von Cloud-Bedrohungen mehrere Angriffe genutzt wird.
nach Branche in Prozent: Januar bis April 2020
Die Daten im folgenden IP-Diagramm geben Aufschluss
+1. +1 über die Zahl der für Angriffe verwendeten IP-Adressen
114 .3
% 50 (Größe des Kreises) sowie über die maximale Zahl der
% Bedrohungsereignisse über diese Adressen, die sich gegen
+773 % ein einzelnes Unternehmen richten (Intensität der Farbe).
+679 %
1%
+57
%
72
+4
Energieversorgung und
Versorgungsunternehmen Behörden
Finanzdienstleister Bildungseinrichtungen
Fertigungsunternehmen Transportwesen und Logistik Folgen
Abbildung 7. Zunahme von Cloud- Teilen
Bedrohungsereignissen nach Branche.
15 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Standorte der Quell-IP-Adressen externer Cloud-Bedrohungen: Januar bis April 2020
Größe: Anzahl der IP-Adressen
Größte Bedrohungen pro Unternehmen
Abbildung 8. Weltkarte der externen Quellen von Cloud-Kontoangriffen nach Standort der Quell-IP-Adresse.
Die zehn häufigsten Standorte von Quell-IP-Adressen für Hinweis: Keines dieser Länder liegt in Europa,
externe Angriffe auf Cloud-Konten von Januar bis April wo sehr strenge Datenschutzbestimmungen gelten.
2020 (sortiert nach Anzahl der verwendeten IP-Adressen): Stattdessen handelt es sich um Staaten, die entweder
schon länger für Cyber-Kriminalität bekannt sind oder
1. Thailand 6. Russische denen Ressourcen zur Durchsetzung von Cybercrime-
2. USA Föderation Bestimmungen fehlen.3
3. China 7. Laos
4. Indien 8. Mexiko
Folgen
5. Brasilien 9. Neukaledonien
10. Vietnam Teilen
16 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Wir gehen davon aus, dass viele dieser Angriffe Diagramm zeigt die vertikale Achse die Anzahl der IP-
opportunistisch motiviert sind und per Passwort-Spraying Adressen, die die einzelnen Branchen angreifen. Dabei
mit gestohlenen Anmeldeinformationen versuchen, deutet eine höhere Anzahl der IP-Adressen auf stärkere
auf Cloud-Konten zuzugreifen. Einige Branchen wie Infrastruktur und Finanzierung hin. Die horizontale
Finanzdienstleister werden jedoch typischerweise Achse zeigt die Anzahl der Unternehmen, die innerhalb
häufig von externen Bedrohungsakteuren angegriffen. einer Branche angegriffen werden. Das zeigt, wie stark
Solche Angriffe haben ihren Ursprung meist in China, die Angriffsinfrastruktur auf bestimmte Branchen
Iran oder Russland.4 ausgerichtet ist. Die Punktgröße verdeutlicht die Zahl der
Bedrohungsereignisse gegen eine bestimmte Branche
Die Standorte der IP-Adressen in diesen drei Ländern
und die Punktfarbe die Ursprungsländer, d. h. Russland,
geben einen genaueren Einblick in die externen Cloud-
China oder Iran.
Angriffe gegen diese Branchen. Im nachfolgenden
Branchenvergleich des Cloud-Bedrohungsaufkommens aus typischen Quellen für gezielte Angriffe: Januar bis April 2020
56 Mio. Transportwesen und Logistik 37 Mio. Fertigungsunternehmen
73 Mio. Gesundheitswesen
Anzahl der verwendeten böswilligen IP-Adressen
Konsumgüter 290 Mio. Finanzdienstleister
Bedrohungs-
58 Mio. Landwirtschaft und Bergbau ereignisse
Professional Services
Immobilien und Bauunternehmen
Gemeinnützige
Unternehmen
837 Mio.
Bedrohungsereignisse
Professional
Services
Gemeinnützige 45 Mio.
Unternehmen
Spiele 108 Mio. Fertigungsunternehmen Finanzdienstleister
Landwirtschaft
Immobilien und Standort der Quell-IP-Adresse
und Bergbau 108 Mio.
68 Mio. Bauunternehmen 111 Mio.
China
Gesundheitswesen
Transportwesen 89 Mio. Spiele Iran (Islamische Republik)
und Logistik
Russische Föderation
Konsumgüter
Landwirtschaft
und Bergbau
Transportwesen Immobilien und Finanzdienstleister
und Logistik Professional
Bauunternehmen
Services 105 Mio. Folgen
Gemeinnützige 14 Mio. Fertigungsunternehmen
Unternehmen Spiele
Gesundheitswesen
Konsumgüter
Teilen
Anzahl der angegriffenen Unternehmen
17 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Während bei Finanzdienstleistern der fünfthöchste Ursnif
Anstieg in Sachen Angriffsvolumen verzeichnet wurde, Im Januar beobachtete McAfee erstmals eine
wies diese Branche das höchste Angriffsvolumen auf, Phishing-Kampagne auf Basis einer Variante von
was gängige Standorte für gezielte Angriffe anbelangt. Ursnif. Dieser Bank-Trojaner stiehlt Banking-
Gesundheitsunternehmen liegen hier an zweiter Stelle, Anmeldeinformationen, indem er die Aktivitäten der
gefolgt von Fertigern. Alle Branchen – insbesondere jedoch Opfer erfasst, Tastenbetätigungen aufzeichnet und
die stark angegriffenen – müssen kontinuierlich alle Cloud- Netzwerkdatenverkehr sowie Browser-Aktivitäten verfolgt.
Aktivitäten überwachen, um böswillige Zugriffe auf ihre
vertraulichen Daten erkennen und blockieren zu können.
Malware, Phishing und Trojaner
Beim Ausführen der VBS-Datei wird eine DLL-Datei unter
Da die Mitarbeiter weltweit aus der COVID-19-Quarantäne C:\Programdata\FxrPLxT.dll abgelegt und mit „rundll32.exe“
heraus immer besser mit Telearbeit zurechtkamen, ausgeführt. Die DLL-Datei wird in „iexplorer.exe“ injiziert
passten sich auch die Bedrohungsakteure an. Sie gingen und kommuniziert unter Verwendung von HTTP GET-
dazu über, Schwachstellen auszunutzen, die sich aus den Anfragen mit dem C&C-Server (Command and Control).
Sicherheitsherausforderungen und den systemischen
Belastungen während der Pandemie ergaben. Kompromittierungsindikatoren
Mithilfe von Phishing-E-Mails mit pandemiebezogenen Typ Kompromittierungsindikator Anmerkung
Themen und Mitteilungen versuchten Cyber-Kriminelle,
Sha256 e82d49c11057f5c222a440f05daf9a53e Dateiname: Coronavirus_disease_
Mitarbeiter und deren Familienmitglieder zu Interaktionen 860455dc01b141e072de525c2c74fb3 COVID-19__194778526200471.vbs
zu verleiten und sich so Zugriff auf ihre Systeme
zu verschaffen. Sha256 8bcdf1fbc8cee1058ccb5510df49b268d Ursnif-DLL
bfce541cfc4c83e135b41e7dd150e8d
Ebenfalls erkannt wurden Phishing-Kampagnen auf Basis
gefälschter E-Mails zu SBA-Darlehen, falschen COVID-19-
Tests und Antikörperbehandlungen.
Folgen
Teilen
18 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
MITRE ATT&CK™-MATRIX
Technik-ID Taktik Details zur Technik
T1059 Ausführung Befehlszeilenschnittstelle
T1129 Ausführung Ausführung durch Laden eines Moduls
T1085 Umgehung der Schutzmaßnahmen, Ausführung Rundll32
T1060 Persistenz Schlüssel zur Registrierungsausführung/
Systemstartordner
T1055 Umgehung der Schutzmaßnahmen, Prozessinjektion
Berechtigungseskalation
Fareit-Trojaner
Anfang Februar entdeckte McAfee eine weitere Kampagne, dazu verleitet werden, auf Links oder Anhänge zu klicken,
die auf Phishing-E-Mails mit dem Betreff „COVID-19“ oder woraufhin der Fareit-Informationsdieb-Trojaner auf die
„Coronavirus“ basierte. Auch hier sollten die Empfänger Computer heruntergeladen wurde.
Folgen
Teilen
19 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Kompromittierungsindikatoren
Typ Kompromittierungsindikator Anmerkung
Sha256 2faf0ef9901b80a05ed77fc20b55e89dc0e1a23ae86dc19966881a00704e5846 Anhang
Sha256 38a511b9224705bfea131c1f77b3bb233478e2a1d9bd3bf99a7933dbe11dbe3c E-Mail
MITRE ATT&CK™-MATRIX
Technik-ID Technik Details zur Technik
T1193 Erster Zugriff Spearphishing-Anhang
T1106 Ausführung Ausführung per API
T1130 Umgehung der Schutzmaßnahmen Installation des Stammzertifikats
T1081 Zugriff auf Anmeldedaten Anmeldedaten in Dateien
T1012 Erkennung Abfrage der Registrierung
T1071 C&C Standardprotokoll für Anwendungsebene
Folgen
Teilen
20 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Fareit-Spam 4
Kompromittierungsindikatoren
Typ Kompromittierungsindikator Anmerkung
Sha256 f8e041bed93783bbd5966bfba6273fe7183464035ea54fe1d59ff85a679b3e3e Abgelegte Binärdatei
Sha256 9e17f5e70c30ead347b68841fa137015d713269add98f0257fb30cc6afdea4fe Anhang
Sha256 ada05f3f0a00dd2acac91e24eb46a1e719fb08838145d9ae7209b5b7bba52c67 E-Mail
MITRE ATT&CK™-MATRIX
Technik-ID Technik Details zur Technik
T1193 Erster Zugriff Spearphishing-Anhang
Folgen
T1204 Ausführung Benutzerausführung
Teilen
T1071 Steuerung Standardprotokoll für Anwendungsebene
21 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Emotet-Trojaner
Ende März erkannte McAfee COVID-19-bezogene Sie basieren auf natürlichen Aktivitäten und
Phishing-Kampagnen, die unter Verwendung einer belegen, dass Hitze dazu beiträgt, das Wachstum
Variante des Emotet-Trojaners Benutzersysteme des Virus einzudämmen.
infizierten. Bei einer Version dieser E-Mails wurden
Das COVID-19-Virus kann beim Menschen
Informationen zur Corona-Antikörperforschung sowie
schwerwiegende Erkrankungen mit hoher
zu neuen Behandlungsmöglichkeiten der Erkrankung
Sterblichkeitsrate auslösen. Es wurden mehrere
in Aussicht gestellt. Nachdem sich Emotet Zugang zum
Strategien zur Behandlung von COVID-19-
System des Opfers verschafft hat, kann der Trojaner eine
Virusinfektionen entwickelt, darunter auch ZMapp.
Reihe von Aktionen durchführen. Er ist jedoch meist so
ZMapp hat sich bei nicht-menschlichen Primaten
programmiert, dass er unzählige Spam-E-Mails an andere
als wirksam erwiesen und wurde als noch nicht
Systeme sendet und sich so weiter verbreitet.
zugelassene Behandlungsmethode auch am
Dazu wurde unter anderem die folgende, hier ins Menschen getestet ...
Deutsche übersetzte E-Mail verteilt:
Bitte laden Sie den vollständigen Text im
beigefügten Dokument herunter ...
Betreff:
Verteilen Sie den Anhang auch an Ihre Kontakte,
Durchbruch!!! WHO kündigt COVID-19-Lösung an –
um sicherzustellen, dass die Epidemie schnell
Entdeckung einer vollständigen Kontrollmethode
unter Kontrolle gebracht wird.
E-Mail-Text:
Wie in einem Newsletter der Weltgesundheits
organisation am 17.03.2020 um 7:40:21
Uhr veröffentlicht, wurden im Rahmen einer
gemeinsamen Studie Antikörper des COVID-19-
Virus identifiziert und untersucht. Diese könnten
zur Entwicklung einer wirksamen universellen
Behandlung zahlreicher unterschiedlicher Arten
des COVID-19-Virus herangezogen werden.
Folgen
Die Ergebnisse wurden vor Kurzem in der
Fachzeitschrift Nature Microbiology veröffentlicht. Teilen
22 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Folgen
Teilen
23 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Die E-Mail enthält eine komprimierte ausführbare Emotet-
Datei, die beim Ausführen unter Verwendung des Process
Hollowing-Verfahrens in „regasm.exe“ injiziert wird.
Anschließend wird der C&C-Server kontaktiert, wodurch
Spam-E-Mails gesendet werden können.
Kompromittierungsindikatoren
Typ Kompromittierungsindikator Anmerkung
Sha256 ca70837758e2d70a91fae20396dfd80f93597d4e606758a02642ac784324eee6 Anhang
Sha256 702feb680c17b00111c037191f51b9dad1b55db006d9337e883ca48a839e8775 E-Mail
MITRE ATT&CK™-MATRIX
Technik-ID Taktik Details zur Technik
T1121 Umgehung der Schutzmaßnahmen, Ausführung Regsvcs/Regasm
T1093 Umgehung der Schutzmaßnahmen Process Hollowing
Folgen
Teilen
24 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Azorult
Bei Azorult handelt es sich um Malware, die meist
zur Beschaffung von Benutzernamen, Kennwörtern,
Kryptowährungen, Browser-Verläufen und Cookies
eingesetzt wird. Diese Listen werden im Untergrund
verkauft und von Ransomware-Partnerstrukturen
gekauft, um in Unternehmen einzudringen. McAfee ATR
hat Fälle beobachtet, bei denen sich Azorult-Infektionen
innerhalb von Stunden oder wenigen Tagen zu einem
Ransomware-Ausbruch weiterentwickelt haben. Azorult
unterscheidet sich insofern von anderer in diesem Bericht
beschriebener Malware, als die Ersteller von Azorult eine
gefälschte Webseite mit einer angeblichen Coronavirus-
Infektionskarte angelegt haben (corona-virus-map[.]com).
Kompromittierungsindikatoren
Typ Kompromittierungsindikator Anmerkung
Sha256 c40a712cf1eec59efac42daada5d79c7c3a1e8ed5fbb9315bfb26b58c79bb7a2 JAR-Datei aus Domäne
URL H**p://corona-virus-map.net/map.jar
Sha256 63fcf6b19ac3a6a232075f65b4b58d69cfd4e7f396f573d4da46aaf210f82564 Abgelegte
Binärdatei
MITRE ATT&CK™-MATRIX
Technik-ID Technik Details zur Technik
T1059 Ausführung Befehlszeilenschnittstelle
Folgen
T1012 Erkennung Abfrage der Registrierung
Teilen
25 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
NanoCore RAT
NanoCore ist ein so genannter Remote-Zugriff-Trojaner
(RAT). Seine hochgradig anpassbaren Plug-Ins ermöglichen
es Angreifern, seine Funktionalität an ihre Bedürfnisse
anzupassen. Auch dieser RAT verbreitet sich selbst unter
Bezugnahme auf COVID-19 und verwendet dabei E-Mail-
Betreffs wie „COVID-19 – Dringende Schutzvorkehrungen“.
Folgen
Teilen
26 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Kompromittierungsindikatoren
Typ Kompromittierungsindikator Anmerkung
Sha256 ca93f60e6d39a91381b26c1dd4d81b7e352aa3712a965a15f0d5eddb565a4730 Abgelegte Binärdatei
Sha256 89b2324756b04df27036c59d7aaaeef384c5bfc98ec7141ce01a1309129cdf9f ISO-Anhang
Sha256 4b523168b86eafe41acf65834c1287677e15fd04f77fea3d0b662183ecee8fd0 E-Mail
MITRE ATT&CK™-MATRIX
Technik-ID Technik Details zur Technik
T1193 Erster Zugriff Spearphishing-Anhang
T1053 Ausführung Geplanter Task
T1060 Persistenz Schlüssel zur Registrierungsausführung/
Systemstartordner
T1143 Umgehung der Schutzmaßnahmen Verborgenes Fenster
T1036 Umgehung der Schutzmaßnahmen Maskierung
T1497 Umgehung der Schutzmaßnahmen Virtualisierung/Sandbox-Umgehung
T1012 Erkennung Abfrage der Registrierung
T1124 Erkennung Erkennung der Systemzeit
T1065 Steuerung Selten verwendeter Port
Folgen
Teilen
27 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Hancitor-Trojaner
Ebenfalls unter dem Deckmantel von COVID-19 Beim Ausführen der VBS wird die Hancitor-DLL als
verbreitet sich der Trojaner Hancitor. Er wird „temp_adobe_123452643.txt“ im Ordner „%AppData/
mit einer E-Mail verteilt, die scheinbar von einer Local/Temp“ angelegt und dann über „Regsvr32.exe“
Versicherungsgesellschaft versendet wurde und einen ausgeführt, um die Kommunikation mit dem C&C-Server
Link zum Herunterladen einer angeblichen Rechnung zu starten.
enthält, die jedoch eine VBS-Datei herunterlädt.
Folgen
Teilen
28 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Kompromittierungsindikatoren
Typ Kompromittierungsindikator Anmerkung
Sha256 2f87dd075fc12c2b6b15a1eb5ca209ba056bb6aa2feaf3518163192a17a7a3 Heruntergeladene
Binärdatei
Sha256 0caef2718bc7130314b7f08559beba53ccf00e5ee5aba49523fb83e1d6a2a347 Heruntergeladene
Binärdatei
Sha256 375d196227d62a95f82cf9c20657449ebea1b512d4cb19cdfe9eb8f102dd9fa Heruntergeladene
Binärdatei
Sha256 0b8800734669aa7dbc6e67f93e268d827b5e67d4f30e33734169ddc93a026 Heruntergeladene
Binärdatei
Sha256 9c40426f157a4b684047a428428f882618d07dc5154cf1bf89da5875a00d69c E-Mail
MITRE ATT&CK™-MATRIX
Technik-ID Technik Details zur Technik
T1192 Erster Zugriff Spearphishing-Link
T1064 Ausführung Skripting
T1117 Ausführung Regsvr32
T1071 Steuerung Standardprotokoll für Anwendungsebene
Folgen
Teilen
29 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Ransomware Der Benutzer wird aufgefordert, eine Zahlung
Ransomware-Kampagnen haben 2019 in einer Reihe vorzunehmen, damit seine Systeme und die darauf
von Branchen Schlagzeilen gemacht. Ransomware-as-a- enthaltenen persönlichen und Unternehmensdaten
Service-Angreifer konzentrierten sich insbesondere auf wieder entschlüsselt werden. Beim Ausführen löscht
Kommunen, das Gesundheitswesen, Finanzdienstleister Ransomware-GVZ Schattenkopien mit „vssadmin“ und
und Großunternehmen. McAfee ATR-Forscher verschlüsselt anschließend alle nicht-PE-Dateitypen.
beobachteten und analysierten umfangreiche Nachdem ein Ordner vollständig verschlüsselt wurde,
Ransomware-Kampagnen, wie Sodinokibi (bzw. REvil), wird die folgende Datei mit dem Lösegeldhinweis angelegt:
die noch vor COVID-19 einmal rund um die Welt gingen.
Sicherheitsingenieure, IT-Experten und Analysten
befassten sich schon länger mit dem Schutz vor und
der Reaktion auf Ransomware-Bedrohungen. Allerdings
nahm diese Herausforderung durch die notwendige
Verlagerung der Mitarbeiter ins Home Office eine völlig
neue Dimension an. Wie gelingt es, ein gleichwertiges
Niveau von anpassbarem Malware-Schutz innerhalb und
außerhalb des Unternehmensnetzwerks sicherzustellen?
Da Telemitarbeiter und IT-Ingenieure für den Zugriff
auf interne Ressourcen verstärkt Remote Desktop Ransomware-GVZ hat darüber hinaus eine Sperr
Protocol (RDP) nutzen, bieten sich Angreifern bildschirmkomponente erstellt. Wird ein Neustartversuch
mehr Schwachstellen für einen Exploit. Dazu unternommen, wird folgende Meldung angezeigt:
gehört das Ausnutzen von Authentifizierungs- oder
Sicherheitsschwachstellen ebenso wie das Zurückgreifen
auf illegal erworbene RDP-Kennwörter. Auf diese Weise
erlangen Angreifer Administratorzugriff und können
problemlos Ransomware oder andere Arten von Malware
installieren und im Unternehmensnetzwerk verbreiten.
Ransomware-GVZ Folgen
Ransomware-GVZ, eine Ransomware-Kampagne mit
Teilen
Coronavirus-Bezug, tauchte im März auf. Ransomware-
GVZ zeigt eine Nachricht mit einem „Lösegeldhinweis“ an.
30 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Kompromittierungsindikatoren
Typ Kompromittierungsindikator Anmerkung
Sha256 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3 Binärdatei
MITRE ATT&CK™-MATRIX
Technik-ID Taktik Details zur Technik
T1486 Auswirkung Datenverschlüsselung für mehr Auswirkung
T1083 Erkennung Datei- und Verzeichniserkennung
T1490 Auswirkung Verhinderung der Systemwiederherstellung
Folgen
Teilen
31 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Spam-Nachrichten und Betrugsversuche Attribution ist durchaus wichtig, aber nicht der primäre
Bedrohungen für Mobilgeräte Schwerpunkt unserer Forschung. APT-Gruppen nehmen
jedoch offenbar das Thema COVID-19 in ihre Kampagnen
Allein im März 2020 identifizierte McAfee Labs mehrere
auf. So werden etwa Dokumente verteilt, die sich auf die
böswillige Android-Apps, die Schlüsselwörter mit
Pandemie beziehen und schädlichen Makrocode enthalten,
Pandemie-Bezug missbräuchlich verwendeten. Die Apps
der Malware auf das System des Opfers herunterlädt.
reichen von Ransomware-Varianten bis hin zu Spy-Agents,
die das Gerät des Opfers ausspionieren. So stellten wir Gefälschte E-Mails zu SBA-Darlehen
beispielsweise bei der statischen Analyse einer App mit Ende März machte eine Phishing-Kampagne die Runde,
dem Namen „Corona Safety Mask“ eine verdächtige Anzahl bei der E-Mails versendet wurden, die angeblich von der
von Berechtigungen fest: US-Behörde für die Verwaltung von Kleinunternehmen
stammten (Small Business Administration, SBA). Diese
E-Mails erweckten den Anschein, Informationen für
Kleinunternehmen sowie Anleitungen zur Beantragung
eines SBA-Darlehens anzubieten. In Wirklichkeit handelte
es sich jedoch um einen Mechanismus, mit dem
nichtsahnende Kleinunternehmer mit Remcos Remote
Access Tool (RAT) infiziert werden sollten, um deren
Informationen zu stehlen.
■ Uneingeschränkter Internetzugang, wodurch die App
Netzwerk-Sockets erstellen kann Falsche COVID-19-Tests
■ Lesen der Kontaktdaten auf dem Gerät des Opfers Im März brachten Cyber-Kriminelle Phishing-E‑Mails
■ Senden von SMS-Nachrichten in Umlauf, die scheinbar von Unternehmen stammten,
die COVID-19-Tests anboten. Benutzer wurden
Wenn der Benutzer die App herunterlädt, hat er die
aufgefordert, einen Anhang zu öffnen, wodurch die auf
Möglichkeit, über folgende Webseite eine Maske zu
Informationsdiebstahl ausgerichtete Trickbot-Malware
erwerben: „coronasafetymask.tk“. Die Berechtigung zum
heruntergeladen wurde.
Senden von SMS-Nachrichten wird missbräuchlich zum
Senden betrügerischer Nachrichten an die Kontaktliste Falsche COVID-19-Sicherheitsvorkehrungen
des Opfers verwendet. Im April gelangten Phishing-E-Mail-Kampagnen
mit Betreffzeilen wie „COVID-19 – Dringende Folgen
Sicherheitsvorkehrungen“ in Umlauf. Ziel war die
Teilen
Verteilung von NanoCore Remote Access Tool (RAT)
zum Exfiltrieren wertvoller Informationen.
32 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Untergrundmärkte
Immer wieder werden Großereignisse von Personen ausgenutzt, denen es
ausschließlich um die Generierung von Profit geht. Die derzeitigen weltweiten
Entwicklungen bilden keine Ausnahme. Wir haben einige Untergrundmärkte
und Telegram-Kanäle untersucht, die unter anderem Schutzmasken anbieten.
Nachfolgend zwei Beispiele:
Abbildung 10. Telegram-Kanal mit mehreren Anbietern von Masken
Folgen
Teilen
Abbildung 9. Onion-Website, die Masken anbietet
33 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Gefälschte Johns Hopkins-Infektionskarte Gefälschte Rechnungen über
Im April verwiesen Cyber-Kriminelle mithilfe von Phishing- Versicherungsbeiträge
E-Mails auf eine gefälschte Webseite mit einer Karte der Mitte April brachten Cyber-Kriminelle E-Mails zum Thema
weltweiten Coronavirus-Infektionen, die angeblich auf COVID-19 von einer angeblichen Versicherungsgesellschaft
Daten des Center for Systems Science and Engineering in Umlauf. Mittels gefälschter Rechnungsanhänge sollten
(CSSE) der Johns Hopkins Universität basierte. Mittels die Systeme der Benutzer mit der Hancitor-Malware
dieser E-Mails wurden jedoch die Systeme der an den infiziert werden.
Daten interessierten Benutzer mit einer Variante der
Azorult-Malware infiziert, die speziell auf den Diebstahl
von Informationen ausgelegt ist.
Abbildung 11. Gefälschte Johns Hopkins-Infektionskarte
Abbildung 12. Gefälschte Rechnung über Versicherungsbeiträge
Folgen
Teilen
34 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
URL-Betrug
McAfee hat Tausende von Spam-E-Mails und Die Anzahl schädlicher URLs mit Bezugnahmen auf
betrügerischen Webseiten mit COVID-19-Bezug COVID-19 und/oder Coronavirus schnellte in den letzten
gefunden, bei denen die Opfer zum Kauf medizinischer Wochen geradezu in die Höhe und stieg innerhalb
Artikel (z. B. Testkits, Gesichtsmasken oder andere kurzer Zeit von 1.600 auf über 39.000 in Woche 13.
Schutzvorrichtungen) verleitet werden sollten. Dabei Dieses exponentielle Wachstum böswilliger Webseiten
stieg die Anzahl der gefälschten Webseiten in den ersten unterstreicht, warum beim Klicken auf Links und Aufrufen
13 Wochen der Pandemie innerhalb kurzer Zeit von von Webseiten Vorsicht und Skepsis angebracht sind.
1.600 auf über 39.000.
Schädliche URLs mit COVID-19-Bezug pro Woche, 2020
Aufkommen
Kalenderwoche 2020
Folgen
Teilen
35 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Wir stellen hier einige der von uns entdeckten böswilligen Aufgrund der hohen Nachfrage nach Gesichtsmasken
Webseiten vor. Werbebetrug ist während einer Pandemie waren diese vielerorts ausverkauft. Selbst innerhalb der
gängige Praxis. Zum Zeitpunkt der Erstellung dieses Gesundheitsdienste waren Masken knapp geworden.
Berichts standen keine Schnelltests zur Verfügung. Panik und Knappheit sind für Spammer eine willkommene
Die Durchführung etwaiger Tests ist außerdem Aufgabe Gelegenheit, Links zu gefälschten Webseiten zu versenden,
von Anbietern aus dem Gesundheitswesen. Informieren über die angeblich medizinische Artikel bezogen werden
Sie sich und andere diesbezüglich, damit Sie nicht auf können. Dieser Screenshot zeigt einen gefälschten Online-
derartige Betrugsmaschen hereinfallen. Shop, der angeblich Gesichtsmasken verkauft:
Das nachfolgende Beispiel zeigt eine gefälschte Webseite,
die Dienstleistungen rund um Corona-Tests anbietet:
Folgen
Teilen
36 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Im Blog-Beitrag 3D-Druck von Masken und Schilden
erfahren Sie, wie ein McAfee-Forscher Gutes tun möchte.
Folgen
Teilen
37 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Kompromittierungsindikatoren
Nachfolgend finden Sie eine nicht vollständige Liste der sind nur ein Teil der IoCs, die von den Lösungen von
Kompromittierungsindikatoren (IoCs), die wir tatsächlich McAfee erkannt wurden. Eine umfassendere Übersicht
gefunden und die sich den Ausbruch von COVID-19 bieten unsere GTI-Cloud, Gateway, ATP und andere
zunutze gemacht haben. Die IoCs in diesem Abschnitt Produkte in unserem Portfolio.
Typ Wert
SHA256 2ec4d4c384fe93bbe24f9a6e2451ba7f9c179ff8d18494c35ed1e92fe129e7fa
SHA256 7e52f7a7645ea5495196d482f7630e5b3cd277576d0faf1447d130224f937b05
SHA256 69724a9bd8033bd16647bc9aea41d5fe9fb7f7a83c5d6fbfb439d21b7b9f53f6
SHA256 f92fecc6e4656652d66d1e63f29de8bfc09ea6537cf2c4dd01579dc909ba0113
SHA256 a5ab358d5ab14b81df2d37aedf52716b5020ab45da472dedc8b8330d129d70bf
SHA256 8028f988c145b98ddd4663d3b5ec00435327026a8533924f7b8320c32737acf4
SHA256 aab93bf5bb0e89a96f93a5340808a7fa2cebf4756bd45d4ff5d1e6c8bdccf75d
SHA256 2e93fe77fafd705e6ca2f61f24e24a224af2490e0a3640ed53a17ea4bf993ec8
SHA256 f850f746f1a5f52d3de1cbbc510b578899fc8f9db17df7b30e1f9967beb0cf71
SHA256 dd78b0ecc659c4a8baf4ea81e676b1175f609f8a7bba7b2d09b69d1843c182cb
SHA256 e352c07b12ef694b97a4a8dbef754fc38e9a528d581b9c37eabe43f384a8a519
SHA256 e82d49c11057f5c222a440f05daf9a53e860455dc01b141e072de525c2c74fb3
Folgen
SHA256 8bcdf1fbc8cee1058ccb5510df49b268dbfce541cfc4c83e135b41e7dd150e8d
Teilen
Die vollständige Liste finden Sie in unserem Blog.
38 McAfee Labs Threats-Report zu COVID-19: Juli 2020BERICHT HAUPTARTIKEL
Empfehlungen
Cyber-Kriminelle werden stets versuchen, noch Weitere Informationen zu Bedrohungen mit COVID-19-
ausgeklügeltere und opportunistischere Angriffe zu starten. Bezug finden Sie in den folgenden Berichten und Blogs
Paradigmen für Telearbeit schaffen neue Gelegenheiten von McAfee:
und machen daher neue Abwehrmechanismen und Bericht zu Cloud-Nutzung und Risiken – Ausgabe zu
-verfahren erforderlich. Unser aktueller Bericht zeigt, dass Arbeiten von zu Hause
eine starke Abwehr gegen Cyber-Angriffe unverzichtbar
ist – und das unabhängig davon, ob Mitarbeiter in einer Der aktuelle Wechsel vom Büro zum Home Office hat
herkömmlichen Büro- oder einer Home Office-Umgebung unsere Lebens- und Arbeitsweise fundamental verändert.
arbeiten. Damit dies gelingt, bedarf es einer ausgewogenen Bedrohungsakteure folgen dem Trend und nehmen
Mischung aus Technologie und Aufklärung. Cloud-Dienste ins Visier.
ENS 10.7 rolls back the curtain on ransomware
Unternehmen müssen sich mit geeigneten Lösungen vor (ENS 10.7 enthüllt Ransomware)
Cyber-Bedrohungen schützen, die darauf abzielen, geistiges
Eigentum und andere sensible Daten durch Eindringen Angreifer machen sich die derzeitigen Herausforderungen
in die Privatumgebung der Mitarbeiter zu stehlen. McAfee beim Schutz von Home Office-Umgebungen zunutze.
konzentriert sich darauf, diese Herausforderungen mit Sie konzentrieren sich auf Schwachstellen des Remote
seinen Unified Cloud Edge- und CASB-Lösungen zu Desktop Protocol (RDP), um auf diesem Weg Ransomware
bewältigen. Diese sind darauf ausgerichtet, sowohl mobile und andere Arten von Malware zu installieren.
als auch herkömmliche Geräte vor Bedrohungen und Cybercriminals actively exploiting RDP to target remote
Datendiebstahl zu schützen. Moderne Endgeräteschutz- orgs (Cyber-Kriminelle nutzen RDP proaktiv aus, um
und EDR-Funktionen sind außerdem in der Lage, Unternehmen mit Remote-Mitarbeitern zu schaden)
eine Vielzahl verschiedener Bedrohungen zu erkennen, Noch nie haben so viele Mitarbeiter weltweit von zu Hause
die Benutzer und Unternehmen in Gefahr bringen. aus gearbeitet. Dies birgt immer mehr Risiken für das RDP-
Die Zukunft ist ungewiss. Veränderung und Disruption Protokoll und öffnet Tür und Tor für das Einschleusen von
sind unvermeidlich. Gleichzeitig sind unsere Gegner fest Malware und andere kriminelle Manipulationen.
entschlossen, uns bei der Arbeit anzugreifen – ganz gleich, COVID-19 threats now include Blood for Sale
wo diese stattfindet. Wir müssen uns der Herausforderung (COVID‑19‑Bedrohungen machen auch vor dem
stellen und alles daran setzen, Technologie voranzubringen Verkauf von Blut nicht halt)
und uns an neue Situationen anzupassen. Wir müssen COVID-19 hat dazu geführt, dass zahlreiche Vektoren
stärkere Abwehrmechanismen für eine verbesserte Cyber- in Dark Web-Foren zum Verkauf stehen.
Folgen
Sicherheit entwickeln und dafür sorgen, dass wir auch in
Wir arbeiten auch weiterhin daran, relevante Informationen
Zukunft sicher arbeiten können.
zu Bedrohungen offenzulegen. Wir veröffentlichen Teilen
regelmäßig neue Inhalte. Bleiben Sie auf dem Laufenden,
und folgen Sie McAfee Labs auf Twitter.
39 McAfee Labs Threats-Report zu COVID-19: Juli 2020Informationen zu McAfee Informationen zu McAfee Labs und Advanced
Threat Research
McAfee ist ein führendes Unternehmen für Cyber-
Sicherheit vom Endgerät bis hin zur Cloud. Inspiriert McAfee Labs, unter der Leitung von McAfee Advanced
durch die Stärke enger Zusammenarbeit entwickelt Threat Research, ist eine der weltweit führenden
McAfee Lösungen für Unternehmen und Privatanwender, Quellen für Bedrohungsforschung sowie -daten und
mit denen unsere Welt sicherer wird. Mit unseren ein Vordenker in Bezug auf Cyber-Sicherheit. Dank der
Lösungen, die mit den Produkten anderer Unternehmen Daten von Millionen Sensoren für alle wichtigen
zusammenarbeiten, können Unternehmen Cyber- Bedrohungsvektoren (Dateien, Web, Nachrichten und
Umgebungen koordinieren, die wirklich integriert sind Netzwerke) bieten McAfee Labs und McAfee Advanced
und in denen der Schutz vor sowie die Erkennung und Threat Research Echtzeit-Bedrohungsdaten, wichtige
Behebung von Bedrohungen nicht nur gleichzeitig, Analysen und Expertenwissen für besseren Schutz
sondern auch gemeinsam erfolgen. McAfee bietet Schutz und Risikominimierung.
für alle Geräte von Privatanwendern und sichert dadurch
https://www.mcafee.com/enterprise/de-de/threat-
das digitale Leben zu Hause und unterwegs. Durch die
center/mcafee-labs.html
Zusammenarbeit mit anderen Sicherheitsakteuren fördert
McAfee zudem den gemeinsamen Kampf gegen Cyber-
Kriminelle. Davon profitieren alle.
www.mcafee.com/de
1. https://www.mcafee.com/blogs/other-blogs/mcafee-labs/covid-19-malware-
makes-hay-during-a-pandemic/
2. https://azure.microsoft.com/en-us/blog/update-2-on-microsoft-cloud-
services-continuity/
3. https://www.researchgate.net/publication/308775653_The_Current_State_
of_Cybercrime_in_Thailand_Legal_Technological_and_Economic_Barriers_to_
Effective_Law_Enforcement
4. https://www.researchgate.net/publication/308775653_The_Current_State_
of_Cybercrime_in_Thailand_Legal_Technological_and_Economic_Barriers_to_
Effective_Law_Enforcement
Ohmstr. 1 McAfee und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee, LLC oder seinen Tochterunternehmen in den USA und
85716 Unterschleißheim anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Copyright © 2020 McAfee, LLC 4517_0720
Deutschland JULI 2020
+49 (0)89 3707 0
www.mcafee.com/de
40 McAfee Labs Threats-Report zu COVID-19: Juli 2020Sie können auch lesen
