In tijden van crisis zijn er altijd opportunisten die proberen te profiteren van de situatie. Dit is niet anders met de huidige Corona COVID19-pandemie, aangezien de experts van Hornetsecurity steeds vaker campagnes kunnen zien ontstaan. Momenteel stijgt het percentage kwaadaardige e-mails met links naar Corona enorm.

Hieronder zullen we daarom beschrijven hoe de huidige crisissituatie hackers in toenemende mate helpt om frauduleuze pogingen aan op te hangen, evenals voor de verspreiding van spam en malware.

 

 

Vergeleken met het totale aantal e-mails dat door Hornetsecurity als kwaadaardig is geclassificeerd, is het aantal e-mails met het onderwerp Coronavirus nog klein, maar neemt wel toe.

Om lezers inzicht te geven in hoe cybercriminelen de COVID19-crisis met verschillende activiteiten uitbuiten, wil het Security Lab enkele van hun dagelijkse bevindingen laten zien.

 

Analyse

We zullen drie activiteiten bekijken:

– Oplichting
– Spam
– Malware

 

Sextortion afpersing draait om COVID19-oplichting

Eerst kijken we naar oplichting. Een langlopende blijvende manier is de sextortion-oplichting [1]. Bij sextortion-oplichting ontvangt een slachtoffer een e-mail waarin wordt beweerd dat zijn computer is gehackt en dat er een video is opgenomen terwijl ze op een pornografische website aan het surfen waren. Om te voorkomen dat deze video wordt gedeeld met vrienden en familie, moet het slachtoffer cryptovaluta (meestal Bitcoin) overmaken naar een specifiek Bitcoin-adres. Het is duidelijk dat de computer van het slachtoffer niet is gehackt en er geen video is gemaakt.

Een “activity group” die eerder door het Security Lab is waargenomen bij dergelijke sextortion-oplichting, hebben zich aangepast om zich nu voor te doen als WHO en slachtoffers te maken door donaties te vragen vanwege het coronavirus. Deze oplichting e-mails zijn hieronder te zien:

 

 

Een andere soortgelijke activiteit is recentelijk gestart. Er wordt gelijk gevraagd naar Bitcoins, simpelweg omdat ze geïnfecteerd zijn, thuis moeten blijven en hierdoor het gezin van het slachtoffer beschermen door het virus niet te verspreiden:

 

 

Op de volgende tijdlijn is de toename van activiteit te zien – de WHO-oplichting gebruikt de Bitcoin-adressen 16gmYrbqMr4SZeA7SqNVmirhnhDG3maYPK en 13Rfk6FXkqswaYnqMys5BkiDvJbwVdL8TD (kleuren blauw en rood) terwijl de oplichting die gelijk om Bitcoins vraagt 18P3S6DuNUpW2WLozsrrW6rRd6xh24Rc7N gebruikt (groen gekleurd):

 

 

Andere “activity groups”, pikken momenteel nog geen graantje mee van het coronavirus. Vandaar dat de klassieke sextortion-oplichting ook nog steeds in gebruik is.

 

Spam met N95 / FFP3 – mondkapjes

Vervolgens bekijken we de spammers. Deze groep probeert meestal de ontvangers producten of diensten te verkopen, of verkeer voor websites te genereren (ongeoorloofd SEO) of interesse in aandelen te stimuleren (marktmanipulatie).

Hier is duidelijk welke producten met betrekking tot de corona-crisis spammers waarschijnlijk zullen gebruiken – mondkapjes. Heel veel ervan:

De tijdlijn van deze activiteiten laat zien dat niet alleen de diversiteit van de verschillende mondkapjes wordt geadverteerd, maar dat ook dat het totale volume van deze spam-e-mails toeneemt:

 

 

Massa distributie van malware

Last but not least, er zijn ook activiteiten waargenomen die malware distribueren en zich hebben aangepast naar corona-gerelateerde lok -e-mails. We presenteren hier inzichten van één “threat activity group” die is geobserveerd bij het verspreiden van Formbook [1], Loki Bot [2], Agent Tesla [3] en AZORult [4] malware binnen verschillende bestanden (ZIP, RAR, ACE, ISO, GZ, …) in e-mails.

Terwijl het Security Lab deze activiteit continu heeft gevolgd, begonnen op 17 maart 2020 sommige e-mails die tot deze activiteitengroep behoorden ‘corona’ of ‘Covid-19’ te gebruiken in het onderwerp- of de bijlagenaam. Deze trend blijft toenemen, zoals blijkt uit de volgende tijdlijn, waarin e-mails van deze “activity group” zonder corona onderwerp in het groen en e-mails met een corona onderwerp in het rood worden weergegeven:

 

 

Conclusie en herstel

Over het algemeen is het risico voor de economie van deze dreigingsactiviteiten hetzelfde als vóór de crisis. Cybercriminelen blijven dezelfde regelingen en methodes gebruiken.

Het is echter zeer waarschijnlijk dat potentiële slachtoffers, gezien de actualiteit, eerder vallen voor de frauduleuze praktijken. Een ander aspect dat niet mag worden verwaarloosd, is dat e-mails over gevoelige onderwerpen in tijden van crisis ook de psyche van de ontvangers aanspreken en deze zelfs onder druk kunnen zetten.

Een goed e-mailfiltersysteem moet voorkomen dat deze e-mails de mailboxen van eindgebruikers bereiken, ongeacht of ze een verwijzing naar Corona bevatten of niet.

De bescherming tegen spam en malware van Hornetsecurity biedt de hoogste detectiepercentages op de markt met een gegarandeerde 99,9% spamdetectie en 99,99% virusdetectie. Dit betekent dat zelfs opportunisten die de Corona-crisis willen uitbuiten, geen kans hebben om in de mailboxen van eindgebruikers te komen om schade aan te richten.

 

Referenties