Cybercriminelen maken waarschijnlijk gebruik van de wereldwijde angst rond de coronavirus uitbraak volgens RiskIQ om ransomware-aanvallen op bedrijven uit te voeren.
Na uitgebreide analyse van eerdere ransomware-aanvallen tijdens wereldwijde epidemieën en huidige phishing-campagnes die gebruikmaken van het coronavirus, zullen bedreigingsactoren uiteindelijk ransomware gaan gebruiken tegen slachtoffers die ze infecteren met de AZORult en Emotet soorten malware.
Grote bedrijven lopen risico
Deze aanvallen zullen voornamelijk gericht zijn op grote bedrijven, die afhankelijk zijn van markten en toeleveringsketens van oorsprong uit China en andere door coronavirus getroffen regio's.
Het personeel bij deze organisaties heeft een verhoogde interesse in nieuws en ontwikkelingen met betrekking tot het virus, waardoor ze mogelijk vatbaarder worden voor social engineering waardoor ze worden misleid om op kwaadaardige links te klikken.
Klikken op kwaadaardige links is nodig om de malware van de aanvaller uit te voeren, wat de deur opent voor ransomware-infectie. Ransomware neemt het over en blokkeert de toegang tot computersystemen totdat de slachtoffers een geldbedrag betalen.
"In het verleden hebben cybercriminelen succes geboekt met rampen en wereldwijde epidemieën in ransomware en andere malware-aanvallen en hebben ze een patroon ontwikkeld waarvan we verwachten dat het doorgaat met het coronavirus", zegt Aaron Inness, Protective Intelligence Analyst bij RiskIQ.
"Ze voeren gelaagde aanvalscampagnes uit, eerst met phishing en social engineering om gebruikers te infecteren met malware en vervolgens het hele systeem over te nemen met ransomware of andere malware."
Twee mogelijke aanvalsmethoden
Er zijn twee mogelijke aanvalsmethoden, beide het resultaat van phishingcampagnes. De eerste betreft de AZORult-malware, waarvan onderzoekers zagen dat deze de basis vormde voor een phishing-campagne gericht op leden van de scheepvaart in januari van dit jaar.
Sinds 2018 hebben aanvallers echter ten minste drie verschillende gelegenheden gebruikt AZORult gebruikt om ransomware te implementeren.
De tweede phishing-campagne is afhankelijk van de Emotet-trojan. Slachtoffers in Japan hebben e-mails ontvangen waarin werd beweerd dat ze belangrijke informatie over het coronavirus bevatten, maar door op de link te klikken, wordt Emotet geactiveerd.
In september 2019 werkten criminelen samen met Emotet met TrikBot en Ryuk ransomware om het netwerk van een organisatie over te nemen, een scenario dat zich de komende weken en maanden op dezelfde manier zou kunnen afspelen.
Secundaire doelen kunnen zijn: gezondheidsorganisaties die betrokken zijn bij het volgen van de verspreiding, het vinden van genezing of het verlenen van bijbehorende openbare dienstfuncties. Kansen kunnen bestaan uit elke instelling of persoon die algemene informatie zoekt over de verspreiding en impact van het virus.
"Bedrijfsleiders, mid-level managers, beheerders van lokale overheden en, natuurlijk, gezondheidswerkers hebben er alle belang bij de laatste ontwikkelingen rond de verspreiding van het coronavirus te volgen", aldus Inness. "Er is maar één vermoeide of overwerkt persoon nodig om te klikken op wat volgens hen een legitieme waarschuwing of update is."
Hoewel AZORult en Emotet nog niet zijn gebruikt om ransomware te implementeren, moeten organisaties zich voorbereiden op ransomware-aanvallen.
Bron: https://www.helpnetsecurity.com/2020/03/11/coronavirus-ransomware-attacks/
