Am 17. und 18. März 2020 hat CrowdStrike Intelligence Scam-E-Mails erhalten, die angeblich von der Weltgesundheitsorganisation (WHO) stammen und in denen um Bitcoin-Spenden für den „COVID-19 Solidarity Response Fund“ gebeten wurde – dies ist der Name eines legitimen Fonds, der von der WHO eingerichtet wurde.
Der Haupttext der Betrugs-E-Mail (im Bild) scheint direkt von der offiziellen Website des Fonds abgeschrieben worden zu sein. Außerdem wurde das Absenderfeld der Betrugs-E-Mails manipuliert. So wurde beispielsweise der Absender-Alias Weltgesundheitsorganisation <[email protected]> genutzt, aber die E-Mails wurden nicht von einer gültigen WHO-Domain gesendet.
Am 20. März 2020 um 17 Uhr UTC waren alle Bitcoin-Wallets, auf die in diesen Betrugs-E-Mails verwiesen wird, leer, was darauf hindeutet, dass der Betrug bisher nicht erfolgreich war. CrowdStrike Intelligence identifizierte folgende drei Bitcoin-Wallets:
- 39w2TUFxgyKNUipZBF54X3Dcf8Rv7zoiLM
- 36gFxJmLrf9dxu1SxD8qEYW1Eem6CrGrAv
- 3KhTEJLznvmU1kCriGJ5SztnMZ7nfqB1w1
Es ist für Cyberkriminelle üblich, aktuelle Ereignisse für Betrugs- und Phishing-Nachrichten zu nutzen. COVID-19 eignet sich angesichts der globalen Auswirkungen und des großen Informationsbedarfs der Öffentlichkeit besonders als Angriffspunkt. Es daher sehr wahrscheinlich, dass eCrime-Akteure weiterhin COVID-19-Themen verwenden werden, um sowohl Einzelpersonen als Organisationen weltweit anzuvisieren.
„Seit dem Ausbruch des COVID-19-Virus hat CrowdStrike beobachtet, wie Cyber-Angreifer das Corona-Thema für Phishing-Zwecke missbrauchen und die aktuelle Krise ausnutzen, um ihre Ziele zu erreichen. Dieses Verhalten beobachten wir sowohl bei nationalstaatlichen Akteuren, insbesondere bei den chinesischen Gruppen, die wir unter der Bezeichnung PANDA verfolgen, als auch bei kriminellen Gruppen. Zudem stellen wir fest, dass kriminelle Ransomware-Akteure öffentlich beteuern, dass sie während der Krise keine medizinischen Einrichtungen mehr ins Visier nehmen wollen oder die Lösegelder gegen diese reduzieren werden. CrowdStrike wird dies weiterhin beobachten. Das US-Justizministerium hat bereits klargestellt, dass es böswillige Cyber-Aktivitäten, die sich auf die COVID-19-Krise konzentrieren, mit Nachdruck verfolgen wird. Die neu ins Leben gerufene Task Force scheint ein Schritt zur Operationalisierung dieses Engagements zu sein“, sagt Robert Sheldon, Director of Government Technology Strategy bei CrowdStrike.
„COVID-19 Cyber Threats“ Blog von Crowdstrike
www.crowdstrike.com