Eine Studie von ProofPoint berichtet, dass Ransomware-Angreifer COVID-19-Nachrichten und Muttersprachen verwenden, um Opfer anzulocken
Das Cybersicherheitsunternehmen ProofPoint hat einen Bericht veröffentlicht, der für die letzten Monate eine Zunahme E-Mail-basierter Phishing-Angriffe für Lösegeld-Forderungen festgestellt.
Das Unternehmen attestiert, dass die Bereitstellung von Ransomware in der ersten Phase zugenommen hat, weil viele Unternehmen im Zuge der Coronavirus-Pandemie weltweit auf Heimarbeits-Modelle umgestiegen sind. Länder wie die USA, Frankreich, Deutschland, Griechenland und Italien waren laut dem Bericht vorrangig Ziel dieser Cyber-Angriffe.
Mr. Robot, Avaddon, Philadelphia und Buran gehören zu den bemerkenswerten Ransomware-Familien, die Opfer des jüngsten Ransomware-Anstiegs geworden sind. Das tägliche Nachrichtenvolumen pro Kampagne lag zwischen eins und 350.000. In einer Kampagne mit Avaddon wurden innerhalb von sechs Tagen über eine Million Ransomware-Nachrichten gesendet.
Jede dieser Kampagnen verwendet Ransomware, um Dateien und Daten des Opfers zu verschlüsseln und so Lösegeld zu erpressen. Sektoren wie Bildung und Produktion, wurden gefolgt von Transport, Unterhaltung, Technologie, Gesundheitswesen sowie Telekommunikation, als Hauptziele identifiziert. Untersuchungen zeigten ferner, dass Lösegeldforderungen im Vergleich zur Vergangenheit sehr niedrig waren, wobei Angreifer hauptsächlich Zahlungen in Kryptowährungen forderten.
„Ein geringfügiger Anstieg der Ransomware-Menge, die als Nutzlast der ersten Stufe per E-Mail-Kampagnen gesendet wird, könnte die Rückkehr großer Ransomware-Kampagnen ankündigen, wie wir sie 2018 gesehen haben“, heißt es im Bericht. Angreifer haben den Zustrom von Menschen in den digitalen Raum aufgrund der Pandemie genutzt und Opfer auch mit COVID-19-basierten Ransomware-Nachrichten ausgenutzt. Sie haben zudem Muttersprachen und Nachrichten mit verschiedenen benutzerdefinierten Themen verwendet, um Opfer zu locken, so der Bericht.
Dieses jüngste Auftreten von Ransomware als anfängliche Nutzlast kommt nach einer relativ langen Phase der Zeit unerwartet. Die Änderung der Taktik könnte ein Indikator dafür sein, dass Kriminelle zu Ransomware zurückkehren und mit neuen Ködern arbeiten“, lautet es im Bericht.
Avaddon verwendet Eröffnungsnachrichten wie „Kennst du ihn?“, „Unser altes Bild“ usw., um Opfer anzulocken und später eine Zahlung von 800 USD in Bitcoin über den Browser TOR zu verlangen. Angreifer haben außerdem eine 24-Stunden-Hotline eingerichtet, um Opfern bei der Lösegeldzahlung zu helfen und Daten wiederherzustellen.
„Verschiedene Akteure, die Ransomware-Nutzdaten als erste Phase in E-Mails ausprobieren, wurden seit 2018 nicht mehr mit nennenswerten Aktivitäten gesehen. Obwohl die Ransomware-Mengen noch vergleichsweise klein sind, ist die Änderung bemerkenswert“, warnte der Bericht. „Die volle Bedeutung dieser Verschiebung ist noch unklar. Es ist klar, dass sich die Bedrohungslandschaft schnell ändert und die Verteidiger weiterhin mit Unerwarteten rechnen sollten“, fügte der Report hinzu.