Cyberaanvallen gerelateerd aan Coronavirus stijgen met 30%

Bunnik, 18 mei 2020 – Check Point Researchers constateren 192.000 coronavirusgerelateerde cyberaanvallen per week, waaronder imitaties van de Wereldgezondheidsorganisatie, de VN en videoconferencing-tool Zoom.

Belangrijkste uitkomsten:

• Meer dan een derde (37%) van domeinnamen die ‘Zoom’ gebruiken, werden in de laatste drie weken geregistreerd.
• Hackers doen zich voor als de Wereldgezondheidsorganisatie (WHO) om malware te verspreiden waarmee ze wachtwoorden kunnen stelen.
• Het thema ‘Corona Cure’ heeft het grootste aantal domeinregistraties, gevolgd door andere thema’s: post-corona, corona-crisis en corona-uitkering (relief payments).

De onderzoekers van Check Point hebben de afgelopen twee weken bijna 200.000 coronavirus-gerelateerde cyberaanvallen geregistreerd. Dat is een stijging van maar liefst 30% ten opzichte van de vorige weken. De researchers deden een opvallende constatering: imitaties:

1. Hackers imiteren WHO en VN
   Hackers geven zich graag uit voor de Wereldgezondheidsorganisatie (WHO). Onlangs deden cybercriminelen zich voor als de WHO en stuurden phishing-e-mails vanuit het domein ‘who.int’ met als onderwerp ‘Belangrijke mededeling van de WHO”: Eerste menselijke COVID-19 vaccin test/resultaat update’ waarmee ze slachtoffers in de val willen lokken. De e-mails bevatten een bestand met de naam ‘xerox_scan_covid-19_urgent information letter.xlxs.exe’ dat de beruchte Agent Tesla-malware bevatte, een programma om wachtwoorden te stelen. Slachtoffers die op het bestand klikken, downloaden de malware.

Bovendien vonden de onderzoekers van Check Point twee voorbeelden van afpersingsmails, zogenaamd door de Verenigde Naties en de WHO verstuurd, waarin ze vroegen om schenkingen en donaties in bitcoins te storten.

2. Registraties verhogen op Zoom-achtige domeinen
   In de afgelopen drie weken werden ongeveer 2.449 nieuwe Zoom-gerelateerde domeinen geregistreerd, waarbij 1,5% van deze domeinen kwaadaardig is en 13% verdacht. Sinds januari 2020 zijn dat er wereldwijd in totaal 6.576. Van alle geregistreerde Zoom-gerelateerde domeinen sinds het begin van de pandemie, is bijna 37% in de afgelopen drie weken geregistreerd.
3. Hackers doen zich voor als Microsoft Teams en Google Meet
   Ook andere videoconferencingtools zoals Microsoft Teams en Google Meet worden gebruikt om mensen in de val te lokken. Onlangs vielen slachtoffers ten prooi aan phishing-e-mails met als onderwerp ‘U bent toegevoegd aan een team van Microsoft-teams’. De e-mails bevatten een kwaadaardige URL. De slachtoffers downloadden de malware toen ze op het ‘Open Microsoft Teams’-icoontje klikten dat naar deze URL leidde. De onderzoekers vonden ook valse Google Meet-domeinen zoals ‘Googelmeets\.com’, dat voor het eerst werd geregistreerd op 27 april 2020. De link leidde uiteraard niet naar een echte Google-website.

Coronavirus-gerelateerde domeinregistraties stijgen
In de afgelopen drie weken werden bijna 20.000 nieuwe coronavirus-gerelateerde domeinen geregistreerd, waarvan 2% van deze domeinen kwaadaardig is en nog eens 15% als verdacht wordt beschouwd. Sinds het begin van de uitbraak zijn er wereldwijd in totaal 90.284 nieuwe coronavirus-gerelateerde domeinen geregistreerd.

Thema’s en trends van Coronavirus-gerelateerde domeinregistraties
Tijdens de analyse van de nieuwe geregistreerde coronavirus-gerelateerde domeinen, merkten de onderzoekers op dat de domeinen de chronologie van de verschillende stadia van de uitbraak van de pandemie weerspiegelen:

In het begin van de uitbraak waren domeinen met live maps heel gewoon (waar je van alle geografische gebieden de toename van coronavirusgevallen kon volgen). Net als domeinen die betrekking hadden op coronavirussymptomen. Tegen het einde van maart werd de aandacht verlegd naar hulppakketten en financiële steunmaatregelen als gevolg van de economische plannen die door verschillende landen werden ontplooid. Daarna kwamen domeinen over ‘het leven na corona’ steeds meer in beeld, net als domeinen over een mogelijke tweede golf van het virus. Gedurende de gehele pandemie blijven domeinen die verband houden met testkits en vaccins veelvoorkomend, met een lichte toename in de afgelopen weken.

Check Point schetst enkele richtlijnen voor een betere cyberveiligheid:

• Pas op voor look-alike domeinen: Let op spelfouten in e-mails of websites.
• Pas op voor onbekende afzenders: Wees voorzichtig met bestanden die u via e-mail ontvangt van onbekende afzenders, vooral als ze vragen om een bepaalde actie uit te voeren die u normaal gesproken niet zou doen.
• Gebruik authentieke bronnen: Zorg ervoor dat u producten bij een betrouwbare bron bestelt. Een manier om dit te doen is om NIET te klikken op promotionele links in e-mails, maar in plaats daarvan de gewenste retailer via Google te zoeken en op de link in de Google-resultaten te klikken.
• Pas op voor ‘speciale’ aanbiedingen: ‘Een exclusieve remedie tegen coronavirus voor €150’ is geen betrouwbare aanbieding. Op dit moment is er namelijk nog geen medicijn tegen het coronavirus. En zelfs als dat wel zo was, zou het zeker niet via e-mail worden aangeboden.
• Gebruik telkens nieuwe wachtwoorden: Zorg ervoor dat u niet dezelfde wachtwoorden gebruikt voor verschillende applicaties en accounts.

Over Check Point
Check Point Software Technologies Ltd. biedt cybersecurity-oplossingen voor overheden en enterprises wereldwijd. Het beschermt klanten tegen cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur die de netwerken tot en met de mobiele toestellen van bedrijven beschermt. plus het meest uitgebreide en intuïtieve beheersysteem. Check Point beschermt meer dan 100.000 organisaties van elke omvang.