Delta-variant leidt tot toename COVID-19-thema's in e-mailaanvallen

proofpoint

Proofpoint volgt al sinds het begin van de pandemie cyberaanvallen die gebruik maken van COVID-19-gerelateerde thema's. TA452, bekend om de verspreiding van Emotet, begon in januari 2020 voor het eerst COVID-19 te gebruiken in e-mailaanvallen. Sinds eind juni 2021 heeft Proofpoint een groot aantal COVID-19-gerelateerde campagnes waargenomen die de malwares RustyBuer, Formbook, en Ave Maria verspreiden. Daarnaast zijn er meerdere corporate phishing-pogingen gezien die als doel hadden om Microsoft- en O365-inloggegevens te stelen.
 
De toename van COVID-19-thema's komt overeen met de publieke belangstelling voor de zeer besmettelijke Delta-variant. Volgens wereldwijde Google Trend-data piekten wereldwijde zoekopdrachten naar "Delta-variant" in de laatste week van juni 2021 en was dit nog steeds het geval tot en met augustus 2021.
 
De toename van COVID-19-gerelateerde aanvallen is een wereldwijd fenomeen. Proofpoint heeft tienduizenden berichten opgemerkt die bestemd waren voor klanten in allerlei sectoren over de hele wereld.
 
Tijdens de pandemie hebben cybercriminelen misbruik gemaakt van de angst en onzekerheid rond het coronavirus en werd het een populair middel voor social engineering. Toen er vaccins beschikbaar kwamen, begonnen aanvallers thema's te gebruiken die te maken hadden met de vaccinatiestatus van landen. Criminelen koppelden COVID-19-thema's vaak aan berichten over financiële steunmaatregelen of medische informatie. Deze trend zet zich voort nu de Delta-variant zich verspreidt en bedrijven vaccinaties eisen voordat werknemers weer aan het werk kunnen.
 
Diefstal van inloggegevens
Onderzoekers van Proofpoint hebben meerdere grootschalige COVID-19-gerelateerde campagnes gezien waarbij inloggegevens werden gestolen. Zo was er een Microsoft-campagne gericht op het stelen van inloggegevens bij duizenden organisaties over de hele wereld.
 
De berichten waren zogenaamd zelfrapportages over vaccinaties die werden verzonden door de HR-afdelingen van die bedrijven. De berichten bevatten een URL die waarschijnlijk leidt naar een valse Microsoft-authenticatiepagina, ontworpen om inloggegevens te verzamelen.
 
Onlangs hebben veel grote Amerikaanse bedrijven hun werknemers verplicht om zich te laten vaccineren voordat ze weer naar kantoor gaan. Naarmate meer werkgevers eisen dat werknemers worden gevaccineerd, zullen aanvallers waarschijnlijk dit soort vaker dit soort berichten gebruiken.
 
Formbook
Onderzoekers van Proofpoint hebben een andere grootschalige Formbook-campagne waargenomen die naar honderden organisaties is gestuurd, zogenaamd door een HR-professional (Afbeelding 3). De e-mails bevatten een gecomprimeerd bestand (bijv. Scan.Salary.zip) en lieten de ontvangers weten zij werden ontslagen vanwege de financiële gevolgen van COVID-19.
 
De e-mails zijn vrij algemeen, maar wel toegespitst op de beoogde organisatie. Om de ontvanger te overtuigen het schadelijke bestand te openen, staat in de e-mail dat een "salarisstrook van 2 maanden" is bijgevoegd. De e-mails bevatten een schadelijke .ZIP-bijlage, die na het uitpakken en uitvoeren leidt tot de installatie van Formbook-malware. Deze campagne bestond uit meer dan 7.000 e-mails bestemd voor allerlei organisaties. 
 
Ave Maria
Proofpoint-onderzoekers hebben nieuwe Ave Maria-malwarecampagnes geïdentificeerd die grotendeels gericht zijn op energie- en industriële bedrijven. Ave Maria is een remote access trojan geschreven in C++. Hiermee kunnen aanvallers processen en bestanden manipuleren, command shell toegang verkrijgen, webcams monitoren, keyloggen, wachtwoorden stelen en op afstand toegang krijgen tot pc's.
 
De eerste e-mails die werden ontvangen, waren zogenaamd gezondheidsadviezen en bevatten "preventieve maatregelen" in verband met het beleid van het desbetreffende bedrijf. Meer dan duizend e-mails waren gericht aan tientallen klanten, waarbij meer dan 90% van de beoogde doelwitten zich in de energiesector bevond. Latere soortgelijke campagnes gebruikten thema's die geen betrekking hadden op COVID-19. In de e-mails stond ook meer over het aantal coronagevallen, sterfgevallen en toegediende vaccindoses
 
RustyBuer
Een van de meest actieve COVID-19-gerelateerde dreigingen momenteel is RustyBuer. Dit is een nieuwe Rust-gebaseerde Buer Loader-variant die onderzoekers van Proofpoint voor het eerst detecteerden in april 2021. Buer is een downloader die wordt gebruikt in gehackte netwerken en als een 'Initial Access Broker' om andere secundaire payloads te distribueren, zoals ransomware.
 
Bij recente campagnes die gebruikmaken van COVID-19-thema's zijn de e-mails zogenaamd afkomstig van zorgprofessionals met onderwerpen die verwijzen naar vaccinatieplichten, gelijke kansen in de zorg en de huidige besmettingscijfers. In het verleden hebben aanvallers die Buer en RustyBuer exploiteerden over het algemeen geen gebruikgemaakt van COVID-19-thema's.
 
De geobserveerde berichten bevatten Microsoft Excel-bijlagen met wachtwoordbeveiliging en macro's die, wanneer ingeschakeld, RustyBuer downloaden en uitvoeren. De berichten zijn onsamenhangend, zinnen kloppen grammaticaal niet en lijken fragmenten uit nieuwsberichten te zijn. Het taalgebruik en de gebruikte afbeeldingen suggereren echter dat er haast is geboden en kunnen de ontvanger ertoe verleiden op de bijlage te klikken. 
 
Conclusie
Als steeds meer mensen besmet raken met de Delta-variant verwachten we dat de media-aandacht hierover wereldwijd zal toenemen. Op basis van het verleden leidt meer media-aandacht er waarschijnlijk toe dat cybercriminelen zullen terugvallen op COVID-19 voor social engineering. Het is mogelijk dat steeds meer aanvallers het virus als lokmiddel zullen gaan gebruiken in toekomstige campagnes zolang het aantal infecties en de belangstelling voor het virus en beschermende maatregelen hoog blijft.
Lees ook
Qualys biedt gratis Ransomware Risk Assessment plus herstelservice

Qualys biedt gratis Ransomware Risk Assessment plus herstelservice

Qualys maakt de beschikbaarheid bekend van de Ransomware Risk Assessment Service. Deze nieuwe dienst maakt het voor bedrijven inzichtelijk in hoeverre zij blootstaan aan ransomware en automatiseert de patching- en configuratiewijzigingen die nodig zijn om het risico direct te verminderen. Qualys biedt de oplossing 60 dagen lang gratis aan in het kader...

Fortinet: ruim twee derde van alle organisaties was doelwit van minstens één ransomware-aanval

Fortinet: ruim twee derde van alle organisaties was doelwit van minstens één ransomware-aanval

Fortinet publiceert het 2021 Global State of Ransomware Report. Uit dit enquêterapport komt naar voren dat de meeste organisaties zich meer zorgen maken om ransomware dan om elke andere cyberbedreiging. De meerderheid zei zich te hebben voorbereid op ransomware-aanvallen.

Bitdefender biedt gratis universele sleutel voor REvil/Sodinokibi ransomware (aanvallen voor 13 juli)

Bitdefender biedt gratis universele sleutel voor REvil/Sodinokibi ransomware (aanvallen voor 13 juli)

Bitdefender heeft in samenwerking met een bekende wetshandhavingspartner een universele decryptor ontwikkeld voor REvil/Sodinokibi. Met deze sleutel kunnen slachtoffers van ransomware aanvallen van REvil die plaatsvonden voor 13 juli 2021 hun bestanden herstellen.