A Brief History of COVID-19 Related Attacks, Pt. 1

Während sich die Welt mit freiwilligen und obligatorischen Quarantänen, sozialer Distanzierung und „Schutz-zu-Hause“-Erlassen befassen muss, sind Cyberkriminelle damit beschäftigt, mit neuer Malware und Cyberattacken die durch die neuartige Coronavirus-Epidemie (COVID-19) verursachte Angst auszunutzen.

„Die Öffentlichkeit muss sich mehr denn je über die Interaktionen im Internet bewusst sein, insbesondere über die Links und E-Mails, die sie öffnen“, erklärte SonicWall Vice President Terry Greer-King bei einem Gespräch mit dem britischen Tagesblatt The Sun. „Cyberkriminelle nutzen vor allem gerne Krisenzeiten, um Benutzer zum Öffnen schädlicher Dateien zu verleiten, die anscheinend von vertrauenswürdigen Quellen stammen.“

Im Rahmen ihrer ständigen Untersuchungen und Analysen von Bedrohungen haben die Bedrohungsforscher von SonicWall Capture Labs die primären Cyberangriffe identifiziert, die das menschliche Verhalten in Verbindung mit dem Coronavirus und COVID-19 ausnutzen.

Bösartige Archivdatei: 5. Februar 2020

Anfang Februar wurde mithilfe der von SonicWall Capture Labs zum Patent angemeldeten Real-Time Deep Memory Inspection (RTDMITM) eine ausführbare Archivdatei mit dem Dateinamen CoronaVirus_Safety_Measures.exe (Coronavirus-Sicherheitsmaßnahmen) aufgedeckt. Die Archivdatei wird dem Opfer als E-Mail-Anhang zugestellt.

SonicWall analysierte die ausführbare Datei und stellte fest, dass es sich um ein Produkt der GOZ InfoStealer-Familie handelte, die von SonicWall RTDMI™ erstmals im November 2019 entdeckt wurde.

GOZ InfoStealer klaut Benutzerdaten aus den installierten Anwendungen und erfasst zugleich Systemdaten des Opfers, die dann über das Simple Mail Transfer Protocol (SMTP) an den Bedrohungsakteur gesandt werden.

Der Malware-Verfasser arbeitet kontinuierlich an der Aktualisierung des Malwarecodes und verändert laufend dessen Infektionskette. Einzelheiten zu dieser Analyse finden Sie in diesem SonicAlert: „Bedrohungsakteure nutzen Coronavirus-Furcht für die Verbreitung von ausführbaren Schaddateien.“

AndroRAT mit Coronavirus-Betreff: 26. Februar 2020

Auch im Android-Ökosystem entdeckte SonicWall Capture Labs eine Taktik, die sich die Coronavirus-Furcht zunutze macht. Hier wird ein Remote Access Trojaner (RAT) verwendet, der als Android apk auftritt und nur den Namen coronavirus trägt.

Nach der Installation und Ausführung wird das Opfer zur erneuten Pin-/Mustereingabe aufgefordert, woraufhin diese Daten während der Frage nach „Accessibility Service“-Funktionen gestohlen werden.

Eine genauere Betrachtung der Codestruktur (unten) zeigt, dass in diesem Fall eine Art von Komprimierung/Codierung verwendet wird. Die Klassennamen scheinen zufällig zu sein, sind aber in sich strukturiert, d. h. die meisten Namen haben eine vergleichbare Länge und Zufälligkeit.

Nach einer Inspektion der Manifest.xml-Dateien zeigte sich, dass die meisten aufgeführten Aktivitäten im dekompilierten Code nicht verfügbar sind. Das bedeutet, dass die „echten“ Klassendateien erst während der Laufzeit entschlüsselt werden. Durch diesen Mechanismus werden automatische Tools bei der Codeanalyse und Urteilsfindung behindert.

Einzelheiten zu dieser Analyse finden Sie in diesem SonicAlert: „Android RAT mit Coronavirus-Betreff im Anstieg“

SonicWall Capture Labs bietet Schutz vor Bedrohungen mit diesen Signaturen:

  • AndroidOS.Spyware.RT (Trojaner)
  • AndroidOS.Spyware.DE (Trojaner)

COVID-19 Hoax Scareware: 13. März 2020

Die Bedrohungsforscher von SonicWall Capture Labs  beobachteten eine die COVID-19-Furcht ausnutzende Malware, die auch als „Scareware“ bezeichnet wird. Diese Art von Bedrohung gibt sich als Ransomware aus, indem eine Lösegeldforderung angezeigt wird (siehe unten). In Wirklichkeit werden jedoch keine Dateien verschlüsselt.

Um das Opfer in Angst zu versetzen, werden eine Reihe von Sicherheitswarnungen angezeigt:

Letztendlich ist es jedoch keine wirklich schädliche Malware, sondern lediglich ein Versuch, durch die ausgelöste Angst das menschliche Verhalten auszunutzen und das Opfer zum Zahlen eines Lösegelds zu bewegen. Einzelheiten zu dieser Analyse finden Sie in diesem SonicAlert: „COVID-19 Hoax Scareware“

SonicWall Capture Labs bietet Schutz vor der Bedrohung mit dieser Signatur:

  • GAV: Scareware.CoVid_A (Trojaner)

Bösartige „Marketing-Kampagne“ propagiert AndroRAT: 14. März 2020

Bedrohungsforscher der SonicWall Capture Labs entdeckten und analysierten bösartige Kampagnen-Websites , die derzeit (zum Zeitpunkt dieser Veröffentlichung) die bereits im Februar 2020 entdeckte Familie von Android Remote Access Trojanern (RAT) (siehe unten) erneut nutzt.

Bei diesen Cyberattacken werden Websites erstellt, die falsche Informationen über das Coronavirus (COVID-19) verbreiten und „Abhilfemaßnahmen“ für das neuartige Virus empfehlen. Doch damit locken diese Seiten über Download-Links neue Opfer an.

SonicWall hat zwei Hauptvarianten dieser Strategie entdeckt – eine auf Englisch und eine auf Türkisch. Beide Varianten liefern den apk namens corona.apk, wenn das Opfer auf das Google Play-Bild klickt.

SonicWall hat die apk-Datei zur Inspektion heruntergeladen und entdeckt, dass hier eine ähnliche Struktur wie in der im Februar aufgedeckten Variante verwendet wird. Bei dieser Variante handelt es sich um einen Android Remote Access Trojaner (RAT), der eine Reihe bösartiger Funktionen ausführen kann, u. a.:

  • Informationen über das Gerät erfassen
  • Eine Liste der installierten Apps abrufen
  • Fernsteuerung des Geräts über TeamViewer erlauben
  • Gmail-Kennwort und/oder Sperrmuster stehlen
  • Keylogger aktivieren
  • Dateien hochladen
  • SMS-Nachrichten, Kontakte stehlen
  • Play Protect deaktivieren

Es gibt viele falsche und Panik verursachende Informationen rund um das Coronavirus (COVID-19). SonicWall Capture Labs bestätigt erneut, dass es keine mobilen Apps gibt, die Coronavirus-Infektionen verfolgen oder auf einen Impfstoff hinweisen können. Bitte seien Sie äußerst vorsichtig.

Einzelheiten zu dieser Analyse finden Sie in diesem SonicAlert:  „Wie falsche Informationen über das Coronavirus für die Verbreitung von bösartigen AndroRAT genutzt werden.“

SonicWall Capture Labs bietet Schutz vor der Bedrohung mit diesen Signaturen:

  • Spyware.RT (Trojaner)
  • Spyware.DE (Trojaner)

Azorult.Rk mit 12 Schichten: 16. März 2020

Die Bedrohungsforscher von SonicWall Capture Labs haben eine neue Form und Aktivität des binären „Coronavirus“ Azorult.Rk Trojaners entdeckt. Bereits seit Beginn der COVID-19-Pandemie im Dezember 2019 haben sich Malware-Entwickler den Wunsch der Öffentlichkeit nach mehr Informationen in einem konstant zunehmenden Maß zunutze gemacht.

Azorult.Rk maskiert sich als eine Anwendung, die diagnostischen Support bietet und beinhaltet sogar den Screenshot eines beliebten interaktiven Tools, das COVID-19-Fälle und -Expositionen grafisch darstellt. Dieser Trojaner enthält 12 verschiedene Schichten statischer und dynamischer Informationen, wodurch Bedrohungsanalysten eine schnelle Prüfung erschwert wird. Diese Analyse ist ein gutes Beispiel zum Aufzeigen, wie Malware-Entwickler ihre Motive und Taktiken verbergen.

Nach dem Sortieren und Durchsuchen aller Schichten entdeckte SonicWall letztendlich, dass diese Malware versucht, Statistiken und Metriken der physischen Computerhardware sowie Benutzernamen, Hostnamen und vieles mehr zu übertragen.

Einzelheiten zu dieser Analyse finden Sie in diesem SonicAlert: „Coronavirus, COVID-19 und Azorult.Rk“.

SonicWall Capture Labs bietet Schutz vor der Bedrohung mit dieser Signatur:

  • GAV: Azorult.RK

Coronavirus-Ransomware: 19. März 2020

Die Bedrohungsforscher von SonicWall Capture Labs haben eine neue Ransomware beobachtet, die sich die Coronavirus-Furcht zunutze macht.  Diese Ransomware verschlüsselt und komprimiert die Dateien und benennt sie um zu ‘coronaVi2022@protonmail.ch__<Dateiname>’. Anschließend ändert sie den Laufwerknamen zu coronavirus und setzt dann die coronavirus.txt-Datei in jeden Ordner des infizierten Systems.

Nach Änderung des Registrierungsschlüssels werden neue Schlüssel hinzugefügt und die Benutzer erhalten folgende Meldung mit der Aufforderung zum Zahlen eines Lösegelds:

Nach 20 Minuten startet der Rechner des Opfers neu und es werden weitere Lösegeldforderungen angezeigt.

Einzelheiten zu dieser Analyse finden Sie in diesem SonicAlert: „Coronavirus Ransomware.“

SonicWall Capture Labs bietet Schutz vor der Bedrohung mit diesen Signaturen:

  • GAV: CoronaVirus.RSM_2
  • GAV : CoronaVirus.RSM

VPN-Lösungen für die von Zuhause aus arbeitende Remote-Belegschaft

Um Organisationen bei einer wirtschaftlichen Implementierung der VPN-Technologie für ihre rasch wachsenden Remote-Belegschaft zu helfen, bietet SonicWall Remote-Access-Produkte und Dienste für neue und bestehende Kunden zu drastisch reduzierten Preisen an. Wir bündeln auch kritische Security-Lösungen für neue Enterprise- und KMU-Kunden.

Dieses Sonderangebot umfasst kostenlos Secure Mobile Access (SMA) virtuelle Appliances, die für Großunternehmen und KMUs dimensioniert sind. Des Weiteren wird bei einer Bündelung mit SMA auch ein maßgeblicher Rabatt auf Cloud App Security und Capture Client Endpunktschutz gewährt.

Diese Pakete wurden gebündelt, um alles einzuschließen, was für den Schutz der außerhalb des Netzwerks arbeitenden Mitarbeiter notwendig ist:

Neu von SonicWall – SD-Branch Lösung mit Multi-Gigabit-Switch zum Schutz verteilter Unternehmen und Filialen

Eigentlich ist in unser aller „neuen Geschäftsnormalität“ nichts normal. In den letzten Monaten hat sich die Anschauung in Bezug auf unsere Arbeitsweise drastisch geändert. Mehr Mitarbeiter als je zuvor wechseln zu Remote-Arbeit – das bringt ein bisher nie dagewesenes Volumen an potentiellen Schwachstellen und Risiken mit sich, dem herkömmliche Cybersecurity-Modelle in keiner Weise gewachsen sind.

Cyberkriminelle freuen sich über die vielen neuen Schwachstellen und verstärken ihre Angriffe. Es reicht also nicht, einfach nur auf Remote-Arbeit umzustellen, auch die Geschäftskontinuität muss weiterhin gewährleistet sein. Diese immer weiter verteilten Netzwerke brauchen eine neue Plattformarchitektur, die diesen Ansturm an bekannten und unbekannten Bedrohungen effektiv abwehren kann.

Um Ihrer Organisation zu helfen, die mit der neuen Cybersecurity-Realität einhergehenden Herausforderungen zu bewältigen, stellt SonicWall drei neue Lösungen vor: SonicWall SD-Branch, SonicWall Switch und SonicWall  Capture Client 3.0.

SonicWall SD-Branch

Viele Unternehmen suchen nach Möglichkeiten, ihre verschiedenen Standorte und Filialen effektiv abzusichern. Doch ist es nicht immer möglich oder praktisch, IT-Fachkräfte jeweils vor Ort einzusetzen. SonicWall SD-Branch ermöglicht Ihrem Unternehmen die Bereitstellung einer nahtlosen Konnektivität, die mit steigenden Bandbreitenanforderungen Schritt hält und es Ihnen ermöglicht, die Netzwerksicherheit an Ihren entfernten Standorten schnell und kostengünstig auf den neuesten Stand zu bringen.

Secure SD-Branch ist eine umfassende Lösung, die sicheres SD-WAN , sichere drahtlose und kabelgebundene LAN-Technologie mit Zero-Touch Deployment verbindet. Dazu kommt SonicWalls leistungsstarkes Cloud-basiertes Capture Security Center, das über alle webfähigen Geräte zugänglich ist und die zentrale Verwaltung sowie Erstellung von Berichten und Analysen für alle Standorte ermöglicht.

SonicWall Switches

Die Umstellung auf Remote-Arbeit hat zu einem plötzlichen Anstieg in der Nutzung von bandbreitenintensiven Anwendungen geführt, was Filialnetzwerke schnell an ihre Belastungsgrenze bringen kann. Gleichzeitig ist die Überwachung, Verwaltung und kontinuierliche Aktualisierung einer wachsenden Anzahl von Netzwerkgeräten über mehrere Filialen hinweg exponentiell schwieriger geworden, zumal viele Filialstandorte kein geschultes IT-Personal haben.

SonicWall Switches liefern kabelgebundene Multi-Gigabit-Leistung, die sich per Fernzugriff installieren lässt und Ihre Filialnetzwerke schnell dem neuen Bedarf entsprechend skaliert. SonicWall Switches sind in sieben Modellen – von 8 bis 48 Ports mit Gigabit- und 10 Gigabit-Ethernet-Ports – erhältlich. Sie liefern die für die konstant steigende Anzahl von mobilen und IoT-Geräten in den Filialennetzwerken notwendige Switching-Leistung und auch die Netzwerkperformance, die zur Unterstützung von Cloud-Anwendungen erforderlich ist. SonicWall Switches lassen sich nahtlos in Ihr bestehendes SonicWall-Ökosystem integrieren und sorgen für eine Vereinheitlichung Ihrer Netzwerksicherheit. Sie sind SD-Branch-fähig und werden durch Firewalls verwaltet. Die Verwaltung kann lokal oder über das Cloud-basierte Capture Security Center von SonicWall erfolgen, das eine einheitliche Verwaltung Ihrer gesamten SonicWall-Infrastruktur über eine zentrale -Benutzeroberfläche ermöglicht.

SonicWall Capture Client 3.0

Mit SonicWall Capture Client 3.0 brauchen sich Remote-Mitarbeiter keine Sorgen wegen komplexer Bedrohungen machen und Administratoren bekommen eine umfassende Transparenz und können ihre Standardschutzmaßnahmen auch auf externe Endpunkte anwenden. SonicWall Capture Client 3.0 ist die neueste Version unserer schlanken, einheitlichen Plattform für den Endpunktschutz und  bietet eine Reihe neuer und aktualisierter Funktionen.

Capture Client 3.0 bietet umfassendes, clientbasiertes Content-Filtering, mit dem sich das netzwerkbasierte Content-Filtering problemlos auf netzwerkexterne Benutzer ausdehnen lässt. Des Weiteren können Inspektionen des HTTP- und HTTPS-Verkehrs durchgeführt und Ausnahmen für vertrauenswürdige Anwendungen oder Blacklisting für nicht vertrauenswürdige Anwendungen angelegt werden. Mit Capture Client ist die Visualisierung von Anwendungen und Identifizierung von Schwachstellen in Echtzeit möglich.

Ab Capture Client 3.0 können Administratoren Azure Active Directory-Eigenschaften für eine granulare Regelzuweisung basierend auf Kategorien wie Gruppenmitgliedschaft nutzen – unabhängig davon, ob das Verzeichnis on-prem oder in der Cloud gehostet wird.

Außerdem bietet Capture Client 3.0 Unterstützung für den SentinelOne Linux Agent, um Antivirus-Fähigkeiten der nächsten Generation auch auf Linux Server auszudehnen. Diese Funktion ermöglicht es Kunden, Linux-basierte Workloads standortunabhängig zu schützen – sowohl On-Prem als auch in der Cloud.

Nur für begrenzte Zeit erhältlich: Boundless Cybersecurity Bundle

Für eine begrenzte Zeit bietet SonicWall einen Preisnachlass, wenn Sie ein auf Ihre Bedürfnisse hin zusammengestelltes Boundless Cybersecurity Bundle erwerben. Das Beste daran ist: je mehr Sie kaufen, desto mehr sparen Sie. Sie kaufen einfach ein qualifizierendes Produkt und erhalten dann zusätzliche Rabatte auf bis zu fünf weitere Produkte in der von Ihnen zusammengestellten Komplettlösung. Besuchen Sie unsere  offizielle Promotions-Seite oder wenden Sie sich an einen SonicWall Security-Experten, der Ihnen beim Aufbau und der Optimierung der für Sie optimalen Sicherheitslösung helfen wird.