Onderzoekers van de cybersecurity-aanbieder hebben grootschalige COVID-19-gerelateerde malware-campagnes waargenomen, waaronder RustyBuer, Formbook en Ave Maria. Meerdere hackergroepen zijn weer overgegaan op het gebruik van social engineering met COVID-19 als thema nu de bezorgdheid over de Delta-variant blijft toenemen.
Piek in Delta-zoekopdrachten
Volgens wereldwijde Google Trend-data piekten wereldwijde zoekopdrachten naar ‘Delta-variant’ in de laatste week van juni 2021 en was dit nog steeds het geval tot en met augustus 2021. De toename van COVID-19-gerelateerde aanvallen is een wereldwijd fenomeen. Proofpoint heeft tienduizenden berichten opgemerkt die bestemd waren voor klanten in allerlei sectoren wereldwijd.
Tijdens de pandemie hebben cybercriminelen misbruik gemaakt van de angst en onzekerheid rond het coronavirus en werd het een populair middel voor social engineering. Toen vaccins beschikbaar kwamen, begonnen aanvallers thema’s te gebruiken die te maken hadden met de vaccinatiestatus van landen.
Criminelen koppelden COVID-19-thema’s vaak aan berichten over financiële steunmaatregelen of medische informatie. Deze trend zet zich voort nu de Delta-variant zich verspreidt en bedrijven vaccinaties eisen voordat werknemers weer aan het werk kunnen.
COVID-19-gerelateerde campagnes
Onderzoekers van Proofpoint hebben meerdere grootschalige COVID-19-gerelateerde campagnes gezien waarbij inloggegevens werden gestolen. Zo was er een Microsoft-campagne gericht op het stelen van inloggegevens bij duizenden organisaties over de hele wereld.
De berichten waren zogenaamd zelfrapportages over vaccinaties die werden verzonden door de HR-afdelingen van die bedrijven. De berichten bevatten een URL die waarschijnlijk leidt naar een valse Microsoft-authenticatiepagina, ontworpen om inloggegevens te verzamelen.
Onlangs hebben veel grote Amerikaanse bedrijven hun werknemers verplicht om zich te laten vaccineren voordat ze weer naar kantoor gaan. Naarmate meer werkgevers eisen dat werknemers worden gevaccineerd, zullen aanvallers waarschijnlijk dit soort vaker dit soort berichten gebruiken.
‘Ontslag wegens Covid’
De onderzoekers van Proofpoint hebben een andere grootschalige Formbook-campagne waargenomen die naar honderden organisaties is gestuurd, zogenaamd door een HR-professional. De e-mails bevatten een gecomprimeerd bestand (zoals Scan.Salary.zip) en lieten de ontvangers weten zij werden ontslagen vanwege de financiële gevolgen van COVID-19.
Verder zijn nieuwe Ave Maria-malwarecampagnes geïdentificeerd die grotendeels gericht zijn op energie- en industriële bedrijven. Ave Maria is een zogeheten remote access trojan. De eerste e-mails die werden ontvangen, waren zogenaamd gezondheidsadviezen en bevatten ‘preventieve maatregelen’ in verband met het beleid van het desbetreffende bedrijf. In de e-mails stond ook meer over het aantal coronagevallen, sterfgevallen en toegediende vaccindoses.
Een van de meest actieve COVID-19-gerelateerde dreigingen momenteel is RustyBuer. Dit is een nieuwe Rust-gebaseerde Buer Loader-variant die voor het eerst gevonden werd in april 2021. Buer is een downloader die wordt gebruikt in gehackte netwerken en als een ‘Initial Access Broker’ om andere secundaire payloads te distribueren, zoals ransomware.
Zorgsector doelwit cybercriminelen
Sinds het begin van de coronacrisis is ook de zorgsector in toenemende mate doelwit van cyberaanvallen. Recent nog maakte Gelre Ziekenhuizen bekend dat het drie weken lang doelwit was geweest van hackers. Volgens zorgbeveiliger Z-Cert vertaalt de aandacht van cybercriminelen voor de zorg zich in toenemende mate in ransomware-aanvallen.
In editie vier van ICT&health, 2021, staat weer een bijdrage van Z-Cert, ook te lezen in het online magazine. Z-Cert gaat in dit artikel in op het belang van goed patch- en kwetsbaarhedenmanagement om het cybercriminelen moeilijker te maken om systemen binnen te dringen.
