COVID-19: Bösartige Domains greifen um sich

Die Forscher von Palo Alto Networks haben im März und April 2020 1,2 Millionen „Newly observed Hostnames“ (NOHs) analysiert, die Schlüsselwörter zu COVID-19 aufwiesen. Die häufigsten Schlüsselwörter zu COVID-19 sind „coronav“, „covid“, „ncov“, “pandemic”, “vaccine,” und “virus.”.

Es stellte sich heraus, dass mehr als 86.600 Domainnamen „hochriskant“ oder „bösartig“ sind, weil sie Malware oder Phishing transportieren. Die USA hatten die meisten bösartigen Domainnamen (29.007), gefolgt von Italien (2.877), Deutschland (2.564) und Russland (2.456).

Mehr als 56.200 der verdächtigen NOHs werden bei einem der vier populärsten Cloud  Service Provider(CSPs) gehostet, davon 70,1 Prozent bei Amazon Web Services (AWS), 24,6 Prozent bei Google, 5,3 Prozent bei Microsoft Azure und weniger als ein Prozent bei Alibaba.

Die Forscher bemerkten, dass einige bösartige Domainnamen sich zu mehreren IP-Adressen auflösen und einige IP-Adressen mit mehreren Domains verbunden sind. Dieses Many-to-Many-Mapping tritt aufgrund der Verwendung von Content Delivery Networks (CDNs) häufig in Cloud-Umgebungen auf und kann IP-basierte Firewalls wirkungslos machen. Im Durchschnitt werden täglich 1.767 bösartige und hochriskante Domainnamen zum Thema COVID-19 ins Web gestellt.

Bedrohungen aus der Cloud können schwerer abzuwehren sein, wil Kriminelle die Cloud-Ressourcen nutzen, um der Entdeckung zu entgehen und den Angriff zu verstärken.

Unternehmen benötigen laut Palo Alto eine Cloud-native Sicherheitsplattform und eine fortschrittliche anwendungsorientierte Firewall, um ihre Umgebungen zu schützen. Palo Alto Networks überwacht kontinuierlich die bösartigen neu registrierten Domainnamen. Sowohl die Prisma Cloud als auch die VM-Reihe bieten Layer-7-Firewallfunktionen in Cloud-Umgebungen, um bösartige Aktivitäten aus diesen Domainnamen zu verhindern.