Forschungsergebnisse von McAfee rund um Malware und Cyber-Kriminalität in Zeiten von COVID-19
Das Advanced Threat Research Team (ATR) von McAfee hat während der globalen Pandemie Analysen zu Cyber-Bedrohungen durchgeführt. Raj Samani, Chief Scientist und Fellow bei McAfee, geht in diesem Interview auf Details der neuesten Forschungsergebnisse von McAfee ein.
Was hat das ATR-Team von McAfee in ihrer Forschung der letzten Monate im Rahmen der Covid-19 Pandemie untersucht?
Raj Samani: In Zeiten von COVID-19 haben sich besonders vor dem Hintergrund der ungewissen wirtschaftlichen Lage einige cyberkriminelle Muster gefestigt – von klassischen Phishing-Mails bis hin zu gefälschten Rechnungsaufforderungen. Diese Taktiken wurden eingesetzt, um schädliche Dateien, mobile Malware und betrügerische Domains zu verbreiten. Alle diese Aktivitäten haben wir täglich verfolgt und gleichzeitig Fehlinformationen im Netz analysiert – das hat uns alle Hände voll zu tun gegeben.
Außerdem haben wir die Ausnutzung von Schwachstellen in bestimmten Systemen nachverfolgt, insbesondere die Ausnutzung von RDP durch bekannte Ransomware-Gruppen. Von Januar bis März diesen Jahres untersuchten unsere Sicherheitsforscher Angriffe, die sich RDP-Ports zu Nutze machten – insbesondere vor dem Hintergrund, dass plötzlich immer mehr RDP-Zugangsdaten auf kriminellen Plattformen verfügbar waren. Zum Beispiel deckte das ATR-Team den Zugang zu einem großen internationalen Flughafen auf, der für nur 10 US-Dollar gekauft werden konnte. Seit März 2020 hat die Zahl der exponierten RDP-Ports erheblich zugenommen.
Warum erlebt Cyber-Kriminalität während der letzten Monate so eine Hochkonjunktur?
Raj Samani: Unsere neue Lebenssituation ging mit etlichen drastischen Veränderungen einher, wie zum Beispiel der plötzliche Wechsel zu Remote Working. Gleichzeitig sind die Menschen natürlich auch extrem neugierig geworden und wollten stets an die neuesten Informationen herankommen was gerade auf der Welt geschieht. Dadurch entwickeln viele aber auch eine neue Anfälligkeit für Phishing-Mails oder sonstige Betrügereien im Netz. Bereits im Februar kursierte mobile Malware, die Nutzern vortäuschte eine COVID-19 Infektions-Map anzuzeigen oder sogar Temperaturmessungen zu ermöglichen. Neugierige und verunsicherte Nutzer laden sich durch diese betrügerischen Apps dann entsprechend Malware auf ihre Geräte. Angreifer nutzen die Pandemie also als Gelegenheit, um sowohl Privatpersonen als auch Organisationen ins Visier zu nehmen und zu erpressen.
Was genau versteht man unter RDP-Angriffen? Was ist das gefährliche daran?
Raj Samani: Einfach ausgedrückt bietet Remote Desktop Protocol (RDP) eine Desktop-Verbindung zu einem anderen Rechner. In einem Umfeld, in dem man also von der Ferne aus auf andere Rechner zugreifen muss, ermöglicht RDP diese Verbindung. Das Problem ist allerdings, dass viele dieser RDP-Ports dem Internet ausgesetzt sind und wenn diese zusätzlich noch mit schwachen oder gar keinen Passwörtern ausgestattet sind, können diese Systeme mit einer weit offenstehenden Tür verglichen werden, wobei ein Neonschild zusätzlich noch jeden einlädt einzutreten. Diese offene Tür in das Netzwerk ermöglicht es Angreifern sich in fremden Systemen zu bewegen. Einige der großen Ransomware-Familien nutzen dies als Schlüsselvektor, um Unternehmen auf der ganzen Welt lahm zu legen. Viele dieser Angriffe können jedoch durch die Umsetzung von besserer Cyber-Hygiene abgemildert werden.
Was konnten die Forscher also in Bezug auf RDP-Angriffe herausfinden?
Raj Samani: Die Zahl der RDP-Ports, die weltweit dem Internet ausgesetzt sind, ist schnell gestiegen, von etwa drei Millionen im Januar 2020 auf mehr als viereinhalb Millionen im März. Die Zahlen der offen zugänglichen RDP-Systeme sind in China und den Vereinigten Staaten besonders hoch. Die Zahlen belaufen sich bei beiden über 1,2 Millionen. In Deutschland sind es immerhin über 180.000. Damit liegt Deutschland mit 5 Prozent immer noch vor Ländern wie den Niederlanden und Japan. Die meisten der kompromittierten Systeme, die RDP verwenden, laufen unter Windows-Server, aber auch andere Betriebssysteme, wie zum Beispiel Windows 7, sind betroffen. Die Zahl der gestohlenen RDP-Zugangsdaten ist in China am höchsten und beläuft sich auf über 20.000.
Wie hat sich die Malware-Landschaft innerhalb der letzten Monate verändert?
Raj Samani: Mit der Ausbreitung von COVID-19 konnte McAfee feststellen, dass Cyber-Kriminelle mithilfe von Malware die Pandemie für ihre Zwecke ausnutzen. Seit Januar konnten wir Stichworte rund um COVID-19 in Dateinamen verzeichnen, die dazu dienen Nutzer anzulocken. McAfee konnte in fast allen Ländern, die von der COVID-19-Pandemie betroffen sind, Kennungen für bekannte IoCs beobachten. Deutschland war neben den USA und Brasilien besonders betroffen. Die Bedrohungen, die wir erkennen konnten, waren zum einen Malware wie Ursnif, ein Banking-Trojaner, der darauf abzielte, Bankausweise zu stehlen. Ursnif sammelt die Systemaktivitäten der Opfer, zeichnet Tastenanschläge auf und verfolgt den Netzwerkverkehr sowie die Browseraktivitäten.
Auch die Anzahl von bösartigen URLs mit Bezug auf die Pandemie ist in den letzten Wochen angewachsen. Dies zeigt, wie wichtig es ist, beim Anklicken von Links und beim Zugriff auf Websites wachsam zu sein, da die Zahl der bösartigen Webseiten exponentiell zunimmt. Eine beträchtliche Anzahl anderer Malware, die im Zusammenhang mit COVID-19 steht, konnte außerdem identifiziert werden. Täglich wurden Tausende von Spam-E-Mails mit COVID-19-Themen verschickt. Sie reichen von Betrug bei der medizinischen Versorgung bis hin zu Erpressung. Die E-Mail bleibt also auch hier ein Top-Vektor für Angreifer.