Secureworks CTU laat zien hoe cybercriminelen misbruik maken van COVID-19

27 augustus 2020

Meerdere cybercriminelen over de hele wereld, waarvan diverse door overheden worden gesponsord, blijven gebruikmaken van de COVID-19-pandemie om slachtoffers te maken. Dit blijkt uit het meest recente Threat Intelligence Executive Report van de Secureworks Counter Threat Unit (CTU). 

Criminelen die door een overheid worden gesponsord, hebben hun aanvallen afgestemd op de wereldwijde bezorgdheid omtrent COVID-19. Zo richtte COPPER FIELDSTONE zich bijvoorbeeld op Indiase burgers met een schadelijk Excel-bestand dat malware bevatte waarmee bestanden en systeemgegevens konden worden gestolen. BRONZE PRESIDENT richtte zich op Taiwanese burgers met phishing-aanvallen die een uitgebreide toolkit voor aanvallers bevatten, zo blijkt uit het rapport. 

CTU-onderzoekers hebben ransomware-aanvallen gezien die gericht waren op organisaties in de gezondheidszorg. Toch zijn er geen tekenen die erop wijzen dat deze branche nu het favoriete doelwit van aanvallers is geworden. De cybercriminelen die de ransomware gebruiken blijven waarschijnlijk opportunistisch organisaties in allerlei branches aanvallen. De aanvallers beseffen echter dat organisaties in de gezondheidszorg onder druk staan als gevolg van de pandemie en daarom wellicht vatbaarder zijn voor afpersing.

Intussen gaan weinig verfijnde phishing-, smishing- (phishing via sms) en andere oplichtingsactiviteiten gewoon door. Zo zijn er cybercriminele phishing-campagnes met coronavirus-thema’s, zoals een coronavirus “antivirus”-website. Slachtoffers hiervan kregen te maken met een tot dan toe onbekende remote access tool voor het BlackNET-botnet. Bij andere aanvallen werd gebruik gemaakt van een gecomprimeerd bestand dat malware installeerde waarmee informatie werd gestolen (ook wel bekend als infostealer). Of een e-mail waarbij logo’s en namen van de Wereldgezondheidsorganisatie (WHO) en Centers for Disease Control and Prevention (CDC) werden gebruikt om een infostealer te verspreiden. 

Aanvallers profiteren ook van het toegenomen gebruik van teleconferentie-oplossingen, doordat veel werknemers tijdens de pandemie vanuit huis werken. Aanvallers spoofen de applicaties van teleconferentie-aanbieders om malware te verspreiden. Verder maken ze schadelijke domeinen aan waarbij ze zich voordoen als providers zoals Zoom, Microsoft Teams en Google Hangouts. 

Het meest recente Threat Intelligence Executive Report van de Secureworks CTU bevestigt dat cybercriminelen nog steeds opportunistisch misbruik maken van COVID-19. Secureworks brengt eersteklas oplossingen om allerlei organisaties, van zorg- en onderwijsaanbieders tot overheden en particuliere bedrijven, te helpen om deze uitdagingen het hoofd te bieden. Sinds medio april is er een lichte toename van het aantal cybercriminele activiteiten. Secureworks CTU voegt er echter aan toe dat de meeste organisaties niet of nauwelijks meer dreiging ervaren op het moment van publicatie van het ‘Threat Intelligence Executive Report’.

Robbert Hoeffnagel

Robbert Hoeffnagel

Editor and consultant @ Belgium Cloud, DatacenterWorks, InfosecurityMagazine.be, Green IT Amsterdam and Mepax

Pin It on Pinterest

Share This