Cyberkriminelle zielen auf Organisationen des Gesundheitswesens ab, die gegen Coronavirus kämpfen

Die Welt ist inmitten einer Pandemie. Coronavirus hat sich weltweit verbreitet und eine erstaunliche Anzahl von Opfern gefordert. Die Leute haben Angst und sind sich nicht sicher, was sie tun sollen und was noch kommen wird. In diesen unsicheren Zeiten ist eines konstant geblieben - alle sind sich einig, dass die Menschen, die die Pandemie aus erster Hand bekämpfen, Helden sind. Krankenschwestern, Ärzte, Forscher und Mediziner an vorderster Front geben ihr Bestes, um zu helfen. Dies sind Menschen, die im Allgemeinen Respekt verdienen, es aber jetzt noch mehr verdienen. Viele von ihnen haben ihren Alltag auch ohne die richtige Schutzausrüstung erledigt, weil sie den Menschen, die sie am dringendsten brauchen, nicht den Rücken kehren wollen. Sie riskieren ihr eigenes Leben, um den Bedürftigen zu helfen. Das verdient Bewunderung.

Leider interessieren sich manche Menschen nicht für Opfer, öffentliche Pflicht und gemeinsamen Anstand. Es gibt Cyberkriminelle, die es für angebracht halten, Profit über Menschen zu machen. Gauner, denen der Ausnahmezustand in den meisten Ländern egal ist, und der Zustand der Panik, in dem sich fast alle Menschen befinden, sind ohne Unterbrechung. Diese böswilligen Personen haben entschieden, dass es jetzt an der Zeit ist, Werbekampagnen zu starten. Nicht nur das, sondern auch Angriffe gegen diejenigen, die wir am dringendsten brauchen - Angehörige der Gesundheitsberufe, die das gefürchtete Coronavirus direkt bekämpfen. Sie haben ihre Angriffe auf Krankenhäuser, Gesundheitsorganisationen und medizinische Zulieferer entfesselt, und medizinische Fachkräfte leiden darunter. Anstatt sich darauf zu konzentrieren, Menschen zu helfen, werden sie von der Gier der Cybercrooks abgelenkt.

Keine Zeit wie das Geschenk für einen schnellen Geldraub

Die böswilligen Personen haben ihre Werbeangriffe auf diejenigen ausgelöst, die versuchen, uns vor dem Virus zu schützen. Malware-Forscher deckten kürzlich zwei bemerkenswerte Kampagnen auf - eine gegen zwei kanadische Einrichtungen: eine staatliche Gesundheitsorganisation und eine medizinische Forschungsuniversität. Und der andere warf ein breites Netz und richtete sich an medizinische Organisationen und medizinische Forschungseinrichtungen weltweit.

Die Gauner verschickten eine Reihe von E-Mails an die Organisationen und maskierten sie als legitim. Sie behaupteten ihre Legitimität, indem sie behaupteten, COVID-19-bezogene Informationen zu enthalten. Insbesondere Daten zur medizinischen Versorgung, Details der Weltgesundheitsorganisation (WHO) oder wichtige Unternehmensmitteilungen zum Virus. Unabhängig von der Front der E-Mail blieb das eigentliche Ziel das gleiche - die Verbreitung von Malware. Die Cyberkriminellen haben diese E-Mails mit Ransomware, Info-Stealern, Trojanern und vielem mehr geladen. Alles im Namen eines schnellen Geldraubes.

Ransomware-Verletzungen
Darstellung der von Jahr zu Jahr steigenden Rentabilität von Ransomware. Quelle: gdatasoftware.com

Die Vor- und Nachteile der Phishing-Angriffe

Ende März, genauer gesagt zwischen dem 24. und 30. März, stellten die Forscher gewisse Besonderheiten bei Angriffen im Zusammenhang mit COVID-19 fest . Es gab mehrere Angriffsversuche gegen Personen, die aktiv gegen Coronavirus kämpfen. Wie bereits erwähnt, zielte der erste Versuch der Cyberkriminellen auf einen Angriff auf Personen ab, die mit einer nicht genannten kanadischen Gesundheitsorganisation in Verbindung standen und an den COVID-19-Reaktionsbemühungen beteiligt waren. Und ihre zweite richtete sich an eine kanadische Universität, die für die Durchführung der COVID-19-Forschung verantwortlich ist.

Die böswilligen E-Mails haben ihr Bestes getan, um legitime E-Mails nachzuahmen. Sie fälschten eine tatsächliche WHO-E-Mail-Adresse (noreply @ who [.] Int) und enthielten eine RTF-Datei (Rich Text Format), die angeblich Informationen zur Pandemie enthielt.

Das Öffnen dieser E-Mail ist ein Fehler. Das RTF zu öffnen ist ein noch größerer Fehler.

Nach dem Öffnen der RTF-Datei wird versucht, eine Ransomware-Nutzlast in Ihr System zu übertragen. Die Nutzdaten nutzen eine bekannte Sicherheitsanfälligkeit (CVE-2012-0158) in Microsoft Office aus. Damit können die Angreifer beliebigen Code ausführen.

Wenn Sie den böswilligen Anhang öffnen, wird eine Ransomware-Binärdatei auf der Festplatte unter C: \ Users \ gelöscht und ausgeführt \ AppData \ Local \ svchost.exe . Die abgelegte Binärdatei tut ihr Bestes, um von Ihnen unentdeckt zu bleiben. Es verfügt über ein verstecktes Attribut, das verwendet wird, wenn einige Inhalte veraltet und nicht mehr erforderlich sind. Und es schafft es, Details vor Ihnen, dem Benutzer, zu verbergen. Darüber hinaus verwendet die Binärdatei ein Adobe Acrobat-Symbol, um das eigentliche Ziel zu verschleiern.

Die Malware, die die RTF-Datei verbirgt, scheint eine Open-Source-Ransomware-Variante mit dem Namen EDA2 zu sein. Diese Infektion ist Teil einer größeren, bedrohlicheren Ransomware-Familie - der von HiddenTear. Wenn der Name klingelt, ist das keine Überraschung. Die HiddenTear-Bedrohung ist ein Gigant, der unzählige Opfer gefordert hat.

Sobald die Binärdatei ausgeführt wird, wird eine HTTP-GET-Anforderung für die Ressource tempinfo.96 [.] Lt / wras / RANSOM20.jpg initiiert. Die Infektion wird auf eine Benachrichtigungsanzeige auf Ihrem Desktop übertragen, um Sie auf Ihre missliche Lage hinzuweisen: "IHR PC IST GESPERRT." Die darin enthaltene Nachricht lautet: "Wenn Sie Ihre Dateien entsperren möchten, müssen Sie .35 BTC [Bitcoin] an diese Adresse senden." Sie erhalten dann die betreffende Adresse. Zum Zeitpunkt des Schreibens dieses Artikels entspricht 0,35 Bitcoin 2.670,13 USD.

Lösegeld20 Lösegeldschein
Bild der Ransomware-Benachrichtigung. Quelle: unit42.paloaltonetworks.com

Das Image wird unter C: \ Users \ auf der Festplatte gespeichert \ ransom20.jpg , wodurch das ursprüngliche Desktop-Hintergrundbild ersetzt werden kann.

Die Ransomware-Binärdatei verschlüsselt eine Reihe von Dateierweiterungen, einschließlich '.DOC', '.ZIP', '. PPT 'und mehr. Forscher stellen fest, dass die Binärdatei dieser Ransomware eine erhebliche Einschränkung aufweist. Es ist nur fest codiert, um Dateien und Verzeichnisse zu verschlüsseln, die sich auf dem Desktop des Opfers befinden.

Hier ist eine Liste der verschiedenen Dateierweiterungen, die die Ransomware-Binärdatei verschlüsselt:

'.abw', '.aww', '.chm', '.dbx', '.djvu', '.doc', '.docm', '.docx', '.dot', '.dotm', '.dotx', '.epub', '.gp4', '.ind', '.indd', '.key', '.keynote', '.mht', '.mpp', '.odf', '.ods', '.odt', '.ott', '.oxps', '.pages', '.pdf', '.pmd', '.pot', '.potx', '.pps', '.ppsx', '.ppt', '.pptm', '.pptx', '.prn', '.prproj', '.ps', '.pub', '.pwi', '.rtf', '.sdd', '.sdw', '.shs', '.snp', '.sxw', '.tpl', '.vsd', '.wpd', '.wps', '.wri', '.xps', '.bak', '.bbb', '.bkf', '.bkp', '.dbk', '.gho', '.iso', '.json', '.mdbackup', '.nba', '.nbf', '.nco', '.nrg', '.old', '.rar', '.sbf', '.sbu', '.spb', '.spba', '.tib', '.wbcat', '.zip', '7z', '.dll', '.dbf'

Der Verschlüsselungsalgorithmus der Infektion ist einfach und dennoch effektiv. Alle Ihre Dateien werden gesperrt und mit der Erweiterung ".locked20" umbenannt. Sie können den Ransomware-Quellcode im Bild unten sehen.

Lösegeld20 Code
Der Verschlüsselungsquellcode der Ransomware. Quelle: unit42.paloaltonetworks.com

Nachdem der Remote-Befehls- und Steuerungsserver (auch als C & C oder C2 bezeichnet) es geschafft hat, Ihre Daten abzurufen, erstellt er einen benutzerdefinierten Schlüssel basierend auf den Details zum Benutzernamen / Hostnamen. Dieser Schlüssel wird zur weiteren Verarbeitung an den infizierten Host zurückgesendet.

Sobald der Schlüssel vom C2-Server empfangen wurde, initiiert der infizierte Host eine HTTP-POST-Anforderung an die Ressource www.tempinfo.96 [.] Lt / wras / savekey.php, die seinen Hostnamen und den primären Entschlüsselungsschlüssel für den Host enthält an sich AES verschlüsselt.

Leere Versprechen und kein tatsächlicher Waffenstillstand

Vor kurzem gab es eine Reihe von Versprechungen von Cyberkriminellen, die Angriffe auf Krankenhäuser einzustellen, solange die Pandemie andauert. Dieses Versprechen und diese Versprechen erwiesen sich als nichts anderes als leere Worte als Forschungspunkte, die Angriffe bis heute andauern. Es gab mehrere Krankenhäuser, die alarmierende Informationen ausgetauscht haben - Ryuk Ransomware hat sie ins Visier genommen. Ryuk ist eine weitere monströse Bedrohung in der Ransomware-Welt.


Social-Media-Post vom 26. März, der Ruyks Krankenhausangriffe bestätigt. Quelle: twitter.com

Nicht nur Kanada und die USA leiden unter diesen Angriffen. Wie bereits erwähnt, sind die Gauner mit ihrer Gier global geworden.

Ein in London ansässiger Gesundheitsdienstleister namens Hammersmith Medicines Research arbeitet mit der britischen Regierung zusammen, um COVID-19-Impfstoffe zu testen. Sie meldeten kürzlich einen Ransomware-Angriff. Die Maze-Ransomware forderte sie als Opfer, und die Gauner, die diesen Angriff starteten, stellten später die Daten, die sie der Organisation gestohlen hatten, online.

Medizinische Organisationen und medizinische Forschungseinrichtungen in Japan wurden ebenfalls über die AgentTesla-Malware in die Liste der Ziele aufgenommen. In dieser Liste finden Sie auch ein deutsches Industrieunternehmen, eine türkische Regierungsbehörde, die öffentliche Arbeiten verwaltet, einen koreanischen Chemiehersteller und ein US-amerikanisches Verteidigungsforschungsunternehmen.

Alle diese Orte und wahrscheinlich auch andere wie sie sind Opfer von Werbekampagnen, die die Coronavirus-Situation für finanzielle Gewinne ausnutzen. Die Cyberkriminellen, die hinter den Angriffen stehen, verwenden COVID-19, um die Ziele zum Öffnen ihrer E-Mails zu locken. Da Coronavirus zu diesem Zeitpunkt ein Modewort ist, führt es dazu, dass Menschen erfolgreich dazu gebracht werden, den gefälschten E-Mails genug zu vertrauen, um sie zu öffnen. Um dies zu erreichen und ihren Erfolg sicherzustellen, setzen sie normalerweise einen aufmerksamkeitsstarken Slogan. Wie zum Beispiel "COVID-19 Supplier Notice" oder "Corporate Advisory".

covid-19 Phishing-Spam-E-Mail
Eine Phishing-E-Mail, die den Slogan "COVID-19 Supplier Notice" enthält. Quelle: media.threatpost.com

Der erste Schritt der Cyberkriminellen besteht darin, Sie dazu zu bringen, ihre Schein-E-Mail zu öffnen. Sobald sie Sie dazu verleiten, müssen sie Sie dazu verleiten, dem Inhalt der E-Mail genug zu glauben, um den Anweisungen zu folgen. Sie sind in der Regel in jedem Fall gleich - siehe Anhang und öffnen Sie den Anhang. Unterlassen Sie! Fallen Sie nicht ihren Tricks zum Opfer.

Die Anhänge für die bösen E-Mails erwiesen sich als Dropper, die Varianten der AgentTesla-Malware-Familie liefern. Falls Sie mit dieser speziellen Infektion nicht vertraut sind, handelt es sich um einen Info-Stealer, der seit 2014 in der Nähe ist. Er wird in einer Vielzahl von Foren beworben und verkauft, die als Wasserstellen für Cyberkriminelle dienen. AgentTesla gehört zu den Top-Malware-Familien der Wahl des SilverTerrier-Bedrohungsakteurs, der für BEC-Kampagnen (Business Email Compromise) berüchtigt ist.

Unten sehen Sie eine Grafik, die die gemeldeten Verluste durch BEC-Angriffe in den letzten Jahren zeigt. Wie Sie sehen können, ist das Wachstum offensichtlich.

Inhalt aus bec
Darstellung der gemeldeten Verluste durch BEC-Angriffe von 2014 bis 2018. Quelle: vadesecure.com

Menschen auszutricksen ist eine heikle Angelegenheit

Berichten zufolge lautet die E-Mail-Adresse, die für das Versenden dieser schädlichen E-Mails verantwortlich ist, "Shipping @ liquidroam [.] Com". Für LiquidRoam wird eine legitime Geschäftsdomäne verwendet, die den Verkauf von elektrischen Skateboards ermöglicht. Als die Forscher dies entdeckten, kamen sie zu dem Schluss, dass es kompromittiert wurde und in die Hände von Cyberkriminellen gefallen ist, um es nach eigenem Ermessen zu verwenden.

Eine andere Beobachtung von Forschern zeigte, dass alle zugehörigen Proben zur Exfiltration mit derselben C2-Domäne verbunden waren - 'ftp [.] Lookmegarment [.] Com.' Sie fügen hinzu, dass die AgentTesla-Beispiele fest codierte Anmeldeinformationen hatten, die für die Kommunikation mit dem C2-Server über FTP (File Transfer Protocol) verwendet wurden.

Cyberkriminelle zeigen keine Anzeichen dafür, dass sie ihre Angriffe stoppen. Bis heute nutzen sie die Coronavirus-Pandemie als Thema für ihre böswilligen Cyberangriffe weltweit. Sie verbreiten Malware mithilfe von Spearphishing-Kampagnen, URLs mit Sprengfallen und Betrug mit Anmeldeinformationen. Achten Sie darauf, nicht in das Netz der Lügen zu fallen, die sie drehen. Seien Sie vorsichtig und denken Sie daran, dass Sie dem Wort der Cyberkriminellen niemals vertrauen können, wie die anhaltenden Angriffe auf Forschungseinrichtungen und Gesundheitseinrichtungen zeigen.

Bis Zane
April 27, 2020
Malware
Deutsch
April 27, 2020
Malware

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.