1. Blog
  2. COVID-19
  3. COVID-19: Wanneer een biologisch gevaar digitaal gaat

COVID-19: Wanneer een biologisch gevaar digitaal gaat

Zonder te willen generaliseren, kunnen sommige hackers extreem opportunistisch en ondoordacht zijn in hun aanvallen. De wereld ligt metaforisch aan hun voeten, omdat ze de wereldwijde gebeurtenissen omzetten in persoonlijk gewin, ontwrichting en protest. Het regelboek over ethiek kan net zo goed uit het raam worden gegooid – iedereen en alles is een makkelijk prooi.

Nu de COVID-19-pandemie zich wereldwijd blijft verspreiden, profiteren cybercriminelen van de wereldwijde gezondheidscrisis door malware te creëren of aanvallen te lanceren met een coronavirusthema. Zolang burgers kwetsbaar zijn voor zowel fysieke als virtuele bedreigingen, wordt de duistere kant van de cybercriminaliteit voor iedereen zichtbaar. Toch is het uitbuitende gedrag van dit ecosysteem slechts een onderdeel van een groter cyberveiligheidsbeeld – een beeld dat onherstelbaar van vorm zal veranderen wanneer het coronavirus eenmaal is tegengegaan.

Wij hebben onlangs een downloadbaar whitepaper gepubliceerd waarin wij onze kennis, inzichten en ervaring met betrekking tot cybersecurity in de hitte van de huidige COVID-19-crisis en de afkoelingsperiode in de wereld na COVID-19 hebben gebundeld. In deze zesdelige blogserie splitsen wij de intelligentie uit die whitepaper op in verteerbare brokken. Deel één – dat je nu leest – reflecteert de situatie zoals wij die nu zien, inclusief enkele van de creatieve dreigingen die cybercriminelen hebben gecreëerd om te proberen te profiteren van een wereld in crisis. Laten we starten met de verdieping.

Crisis binnen een crisis

Op 25 maart 2020 stond ongeveer 20% van de wereldbevolking onder coronavirus lockdown. Hierdoor ontstond een wanhopig verlangen naar nieuws en informatie over de pandemie, te midden van een wazige nevel van angst, urgentie en onzekerheid voor burgers over de hele wereld. Omgekeerd hebben cybercriminelen het perfecte lokaas gekregen voor allerlei soorten aanvallen, waaronder phishing, Business E-mail Compromise (BEC), watering holes en nog veel meer. Als een Russische pop zien we een cybersecurity-crisis ontstaan uit een wereldwijde gezondheidspandemie; een cybercrisis die vele complexe lagen en nuances blootlegt telkens als we er één afpellen.

Ons CERT team heeft gegraven in de verspreiding van COVID-19 gerelateerde aanvallen toen de pandemie verergerde. In de week voor 26 maart werden 8900 nieuwe DNS-domeinen met betrekking tot de termen ‘corona-virus’, ‘covid-19’ en ‘ncov’ geregistreerd – meer dan het dubbele dan de week ervoor. In dezelfde week meldden onze klanten ook meer dan 600 potentiele frauduleuze e-mails, waarvan 10% kwaadaardig bleek te zijn. Het aantal kwaadaardig gevalideerde e-mails was vier keer zo hoog als de week ervoor.

Creatief worden

Uit ons onderzoek bleek duidelijk dat naarmate de wereldwijde gezondheidscrisis verergerde en in het nieuws werd bericht over de vooruitgang per land, hackers de behoefte aan duidelijkheid en vastberadenheid onder de mensen exploiteerden. En zo werden hun methoden van bedrog steeds creatiever, waarbij ze hun communicatie vermomden als officiële bronnen en autoriteiten om burgers te laten klikken. We beschrijven een aantal voorbeelden.

Watering holes en malware

De “Live Coronavirus Data Map” van het John Hopkins Center for Systems Science and Engineering (CSSE) werd gebruikt als lokmiddel om malware te verspreiden via watering holes aanvallen. Bovendien zijn er links naar sommige Android-telefoons gestuurd (meestal via SMS of watering holes-websites), die een app voor het volgen van het coronavirus beloven. Echter, zodra de applicatie is gedownload, kunnen mensen die ervan verdacht worden vanuit Libië te opereren, kijken via de smartphone camera, toegang verkrijgen tot sms-berichten of luisteren via de microfoon. De geïdentificeerde malware zou een aangepaste versie zijn van SpyMax, een commerciële spyware die heel gemakkelijk gratis online kan worden aangeschaft.

Werken op afstand wordt een doelwit

Zoals te verwachten met een instroom van medewerkers die wereldwijd vanuit huis werken, zijn hackers zich gaan richten op de IT-systemen thuis. En dan met name op de kwetsbare thuisrouters. ZDNet heeft onlangs gemeld dat hackers vanaf 26 maart hebben ingebroken in de routers van mensen en de DNS-instellingen hebben gewijzigd om nietsvermoedende gebruikers van apparaten naar coronavirus gerelateerde sites te verwijzen die malware pushen.

Mediakanalen zijn ook overspoeld met zorgen over het privacybeleid van videoconferentie platforms zoals Zoom, welke erg populair lijkt te zijn voor werknemers en individuen om tijdens de coronaviruscrisis verbonden te blijven. Sommige van deze zorgen zijn geldig – Zoombombing is de nieuwste MO geworden voor zij die mogelijke Zoom-ID’s herschikken totdat ze er een vinden die actief is en zich vervolgens ongevraagd bij een gesprek voegen.

Geopolitiek gelijkgetrokken bij zorginstellingen

Hackers richten hun vizier ook op medische voorzieningen, zoals Bloombergin March meldt. De Amerikaanse Health and Human Services Department kreeg te maken met een cyberaanval op haar computersysteem, gericht op het ondermijnen van de reactie op de coronaviruspandemie. Ook de computersystemen van het universitair ziekenhuis Brno in Tsjechië – een faciliteit waar een van de 18 laboratoria is gevestigd die worden gebruikt voor het testen van het nieuwe virus – werden afgesloten als gevolg van een cyberaanval. Veel van deze aanvallen zijn een poging om de wereldwijde inspanningen om COVID-19 te behandelen of te onderzoeken, te verstoren of te ondermijnen.

Een lichtpuntje?

Het is echter niet allemaal onheil en somberheid van de hackergemeenschap. Veel van de grote ransomware-distributiegroepen hebben naar verluidt een staakt-het-vuren op hun hack-inspanningen afgekondigd, vooral uit respect voor medische voorzieningen. Deze groepen hebben beweerd dat ze zich nooit richten op dergelijke faciliteiten, noch zullen ze zich niet richten op hen terwijl de pandemie aan de gang is. Sommige bieden zelfs ontcijfering of gegevensherstel tegen een gereduceerd tarief aan als een dergelijke organisatie per ongeluk wordt aangevallen. Hoewel het een welkome vergiffenis is, is de strijd om de coronavirus-veiligheid nog lang niet gestreden.

In deel twee van onze zesdelige blogserie onderzoeken we hoe de aanvallen die we tijdens de COVID-19 pandemie hebben zien opduiken, het cybersecurity-dreigingsmodel hebben verschoven en wat dit op korte termijn betekent voor bedrijven.

Als u geen exemplaar van onze whitepaper heeft gedownload, doet u dat dan vooral.

Wilt u op de hoogte blijven van interessante content?

Meld u dan aan voor onze nieuwsbrief.

Download het whitepaper met het gehele onderzoek hier!

Delen