Immer mehr Hostnamen werden bei den großen Cloud-Provider registriert, die hochriskant oder bösartig sind. Die Hacker verschleiern damit Aktivitäten wie Phishing und die Verbreitung von Malware.
Im März und April 2020 haben die Forscher von Palo Alto Networks 1,2 Millionen „Newly observed Hostnames“ (NOHs) analysiert, die Schlüsselwörter zu COVID-19 aufwiesen. Die häufigsten Schlüsselwörter zu COVID-19 sind „coronav“, „covid“, „ncov“, “pandemic”, “vaccine,” und “virus.”.
Mehr als 86.600 Domainnamen sind „hochriskant“ oder „bösartig“, weil sie Malware oder Phishing transportieren. die meisten bösartigen Domainnamen mit mehr als 29.007 hatten die USA, gefolgt von Italien mit 2.877, Deutschland 2.564 und Russland mit 2.456 Domainnamen.
Mehr als 56.200 der verdächtigen NOHs werden bei einem der vier populärsten Cloud Service Provider(CSPs) gehostet, davon 70,1 Prozent bei Amazon Web Services (AWS), 24,6 Prozent bei Google, 5,3 Prozent bei Microsoft Azure und weniger als ein Prozent bei Alibaba. Die Forscher fanden heraus, dass einige bösartige Domainnamen sich zu mehreren IP-Adressen auflösen und einige IP-Adressen mit mehreren Domains verbunden sind.
Aufgrund der Verwendung von Content Delivery Networks (CDNs) tritt häufig dieses Many-to-Many-Mapping in Cloud-Umgebungen auf und kann IP-basierte Firewalls wirkungslos machen. Täglich werden 1.767 bösartige und hochriskante Domainnamen zum Thema COVID-19 ins Web gestellt. Bedrohungen aus der Cloud können schwerer abzuwehren sein, da Kriminelle die Cloud-Ressourcen nutzen, um der Entdeckung zu entgehen und den Angriff zu verstärken.
Um die Umgebungen zu schützen benötigen Unternehmen laut Palo Alto eine Cloud-native Sicherheitsplattform und eine fortschrittliche anwendungsorientierte Firewall, Palo Alto Networks überwacht kontinuierlich die bösartigen neu registrierten Domainnamen. Sowohl die Prisma Cloud als auch die VM-Reihe bieten Layer-7-Firewallfunktionen in Cloud-Umgebungen, um bösartige Aktivitäten aus diesen Domainnamen zu verhindern.