Die onderwerp van koronavirus vandag het al die nuusstrome oorstroom, en het ook die hoofleitmotief geword vir verskeie aktiwiteite van kubermisdadigers wat die onderwerp van COVID-19 en alles wat daarmee verband hou, uitbuit. In hierdie nota wil ek die aandag vestig op 'n paar voorbeelde van sulke kwaadwillige aktiwiteite, wat natuurlik nie 'n geheim is vir baie inligtingsekuriteitspesialiste nie, maar die vermindering daarvan in een nota sal dit makliker maak om u eie geleenthede voor te berei. om bewustheid te kweek onder werknemers, van wie sommige op afstand werk en steeds meer vatbaar is vir verskeie kuberveiligheidsbedreigings as voorheen.
'n Minuut van sorg van 'n UFO
Die wêreld het amptelik 'n pandemie van COVID-19 verklaar, 'n potensieel ernstige akute respiratoriese infeksie wat veroorsaak word deur die SARS-CoV-2-koronavirus (2019-nCoV). Daar is baie inligting oor hierdie onderwerp op Habré - onthou altyd dat dit beide betroubaar / nuttig kan wees, en omgekeerd.
Ons moedig u aan om krities te wees oor enige gepubliseerde inligting.
Amptelike bronne
- Terreine en amptelike groepe van operasionele hoofkwartiere in die streke
As jy nie in Rusland woon nie, verwys asseblief na soortgelyke webwerwe in jou land.
Was jou hande, sorg vir jou geliefdes, bly tuis indien moontlik en werk op afstand.Lees publikasies oor: |
Daar moet kennis geneem word dat daar vandag geen heeltemal nuwe bedreigings met koronavirus verband hou nie. Ons praat eerder van aanvalsvektore wat reeds tradisioneel geword het, bloot onder 'n nuwe "sous" gebruik. Dus, ek noem die belangrikste tipes bedreigings:
- phishing-webwerwe en posboodskappe oor die onderwerp van koronavirus en verwante kwaadwillige kode
- Bedrog en verkeerde inligting om vrees of verkeerde inligting oor COVID-19 uit te buit
- aanvalle teen organisasies wat betrokke is by koronavirusnavorsing
In Rusland, waar burgers tradisioneel die owerhede wantrou en glo dat hulle die waarheid vir hulle wegsteek, is die waarskynlikheid om uitvissingwebwerwe en poslyste, sowel as bedrieglike hulpbronne suksesvol te "bevorder", baie groter as in lande met meer oop owerhede. Alhoewel niemand homself vandag absoluut beskerm kan beskou teen kreatiewe kuberswendelaars wat al die klassieke menslike swakhede van 'n persoon gebruik nie - vrees, deernis, hebsug, ens.
Neem byvoorbeeld 'n bedrogspulwebwerf wat mediese maskers verkoop.
'n Verwante webwerf, CoronavirusMedicalkit[.]com, is deur Amerikaanse owerhede gesluit omdat hulle 'n nie-bestaande COVID-19-entstof gratis versprei het, wat "slegs" die posgeld betaal het om die dwelm te stuur. In hierdie geval, teen so 'n lae prys, was die berekening op die haastige vraag na die dwelm in die lig van paniek in die Verenigde State.
Dit is nie 'n klassieke kuberbedreiging nie, aangesien die taak van aanvallers in hierdie geval nie is om gebruikers te besmet en nie om hul persoonlike data of identifikasie-inligting te steel nie, maar bloot op die golf van vrees om hulle te dwing om uit te vurk en mediese maskers te koop by opgeblase pryse met 5-10-30 keer die werklike waarde oorskry. Maar die idee om 'n vals webwerf te skep wat die tema van die koronavirus ontgin, is ook baie van toepassing op kubermisdadigers. Hier is byvoorbeeld 'n webwerf wat die sleutelwoord "covid19" in sy naam het, maar wat ook 'n uitvissingwerf is.
Oor die algemeen, monitering van ons insident-ondersoekdiens op 'n daaglikse basis , sien jy hoeveel domeine geskep word met die woorde covid, covid19, coronavirus, ens. in hul name. En baie van hulle is kwaadwillig.
In 'n omgewing waar 'n deel van die maatskappy se werknemers oorgeplaas word om van die huis af te werk en hulle word nie deur korporatiewe beskermingsinstrumente beskerm nie, is dit belangriker as ooit om die hulpbronne wat toegang verkry word vanaf mobiele en stilstaande toestelle van werknemers te monitor, bewustelik of sonder hul medewete. As jy nie die diens gebruik nie om sulke domeine op te spoor en te blokkeer (en Cisco nou 'n gratis verbinding met hierdie diens), stel dan ten minste jou webtoegangmoniteringsoplossings in om domeine met die toepaslike sleutelwoorde te beheer. Onthou terselfdertyd dat die tradisionele benadering tot die swartlys van domeine, sowel as die gebruik van reputasiedatabasisse, kan misluk, aangesien kwaadwillige domeine baie vinnig geskep word en in net 1-2 aanvalle vir nie langer as 'n paar uur gebruik word nie, waarna die aanvallers skakel oor na nuwe eendagdomeine. Inligtingsekuriteitsmaatskappye het eenvoudig nie tyd om hul kennisbasisse vinnig op te dateer en aan al hul kliënte te versprei nie.
Aanvallers gaan voort om die e-poskanaal aktief te ontgin om uitvissingskakels en wanware in aanhangsels te versprei. En hul doeltreffendheid is redelik hoog, aangesien gebruikers, terwyl hulle heeltemal wettige nuusposse oor die koronavirus ontvang, nie altyd iets kwaadwillig in hul volume kan herken nie. En terwyl die aantal besmette mense net groei, sal die omvang van sulke bedreigings ook net groei.
Hier is byvoorbeeld 'n voorbeeld van 'n uitvissing-e-pos wat namens die Centers for Disease Control and Prevention (CDC) gestuur is:
Om op die skakel te klik, lei natuurlik nie na die CDC-webwerf nie, maar na 'n vals bladsy wat die slagoffer se login en wagwoord steel:
En hier is 'n voorbeeld van 'n uitvissing-e-pos wat voorgee om van die Wêreldgesondheidsorganisasie te wees:
En in hierdie voorbeeld reken aanvallers op die feit dat baie mense glo dat die owerhede die ware omvang van die infeksie vir hulle wegsteek, en daarom is gebruikers gelukkig en amper sonder huiwering om op hierdie tipe briewe met kwaadwillige skakels of aanhangsels te klik wat kwansuis al die geheime sal openbaar.
Terloops, daar is 'n webwerf , wat jou toelaat om verskeie aanwysers op te spoor, soos sterftes, die aantal rokers, die bevolking in verskillende lande, ens. Die webwerf het ook 'n bladsy wat aan die koronavirus toegewy is. En toe ek op 16 Maart daarheen gaan, sien ek 'n bladsy wat my vir 'n oomblik laat twyfel het dat die owerhede ons die waarheid vertel (ek weet nie wat die rede vir sulke getalle is nie, miskien net 'n fout):
Een van die gewilde infrastruktuur wat aanvallers gebruik om soortgelyke e-posse te stuur, is Emotet, een van die gevaarlikste en gewildste bedreigings van die afgelope tyd. Word-dokumente wat aan e-posboodskappe geheg is, bevat Emotet-aflaaiers wat nuwe kwaadwillige modules na die slagoffer se rekenaar aflaai. Emotet is aanvanklik gebruik om skakels te bevorder na bedrogspulwerwe wat mediese maskers verkoop en Japannese inwoners geteiken het. Hieronder kan jy die resultaat sien van die ontleding van 'n kwaadwillige lêer met 'n sandbox. , wat lêers vir wanware ontleed.
Maar aanvallers ontgin nie net die vermoë om in MS Word te hardloop nie, maar ook in ander Microsoft-toepassings, byvoorbeeld in MS Excel (dit is hoe die APT36-krakergroep opgetree het), en stuur aanbevelings oor die bekamping van koronavirus van die regering van Indië wat Crimson RAT bevat :
Nog 'n kwaadwillige veldtog wat die tema van die koronavirus ontgin, is Nanocore RAT, wat jou toelaat om programme op slagofferrekenaars te installeer vir afstandtoegang, toetsaanslagen onderskep, skermbeelde vaslê, toegang tot lêers, ens.
En Nanocore RAT word gewoonlik per e-pos afgelewer. Byvoorbeeld, hieronder sien jy 'n voorbeeld posboodskap met 'n aangehegte zip-argief wat 'n uitvoerbare PIF-lêer bevat. Deur op die uitvoerbare lêer te klik, installeer die slagoffer die Remote Access Tool (RAT) op sy rekenaar.
En hier is nog 'n voorbeeld van 'n veldtog wat parasities is oor die onderwerp van COVID-19. Die gebruiker ontvang 'n e-pos waarin 'n afleweringsvertraging weens die koronavirus geëis word met 'n aangehegte faktuur met 'n .pdf.ace-uitbreiding. Binne die saamgeperste argief is uitvoerbare inhoud wat 'n verbinding met die opdrag- en beheerbediener tot stand bring om bykomende opdragte te ontvang en ander doelwitte van die aanvallers uit te voer.
Parallax RAT het soortgelyke funksionaliteit, wat 'n lêer met die naam "new infected CORONAVIRUS sky 03.02.2020.pif" versprei en wat 'n kwaadwillige program installeer wat in wisselwerking met sy opdrag- en beheerbediener via die DNS-protokol. Om sulke afstandtoegangsprogramme te bekamp, sal EDR-klasbeskermingsinstrumente help, 'n voorbeeld daarvan is , en óf NGFW (byvoorbeeld, ), of DNS-moniteringnutsmiddels (byvoorbeeld, ).
In die voorbeeld hieronder is wanware met afstandtoegang geïnstalleer op die rekenaar van 'n slagoffer wat om een of ander onbekende rede 'n advertensie gekoop het wat sê dat 'n gewone antivirusprogram wat op 'n rekenaar geïnstalleer is, teen werklike COVID-19 kan beskerm. En iemand het immers vir so 'n oënskynlike grap geval.
Maar onder kwaadwillige programme is daar ook werklik vreemde dinge. Byvoorbeeld, graplêers wat die werk van losprysware naboots. In een geval, ons Cisco Talos-afdeling 'n lêer met die naam CoronaVirus.exe wat die skerm geblokkeer het tydens uitvoering en 'n timer begin het en die inskripsie "vee alle lêers en vouers op hierdie rekenaar uit - coronavirus."
Aan die einde van die aftelling het die knoppie aan die onderkant aktief geword en toe dit gedruk is, is die volgende boodskap vertoon wat sê dat dit alles 'n grap was en dat jy Alt + F12 moet druk om die program te beëindig.
Die stryd teen kwaadwillige e-posse kan geoutomatiseer word, byvoorbeeld deur , wat jou toelaat om nie net kwaadwillige inhoud in aanhangsels op te spoor nie, maar ook phishing-skakels op te spoor en daarop te klik. Maar selfs in hierdie geval moet u nie vergeet van gebruikersopleiding en gereelde uitvissing-simulasies en kuberoefeninge wat gebruikers sal voorberei vir verskillende truuks van aanvallers wat teen u gebruikers gerig is nie. Veral as hulle op afstand en deur hul persoonlike pos werk, kan kwaadwillige kode ook 'n korporatiewe of departementele netwerk binnedring. Hier kan ek 'n nuwe oplossing aanbeveel , wat dit moontlik maak om nie net mikro- en nano-opleiding van personeel oor inligtingsekuriteitskwessies uit te voer nie, maar ook om phishing-simulasies vir hulle te organiseer.
Maar as jy om een of ander rede nie gereed is om sulke oplossings te gebruik nie, moet jy ten minste gereelde e-posse aan jou werknemers organiseer met 'n herinnering aan die uitvissingsgevaar, die voorbeelde daarvan en 'n lys van veilige gedragsreëls (die belangrikste ding is dat aanvallers dit doen nie hulself as hulle vermom nie). Terloops, een van die moontlike risiko's tans is phishing-posboodskappe vermom as briewe van jou bestuur, wat na bewering praat oor nuwe reëls en prosedures vir afgeleë werk, verpligte sagteware wat op afgeleë rekenaars geïnstalleer moet word, ens. En moenie vergeet dat kubermisdadigers, benewens e-pos, kitsboodskappers en sosiale netwerke kan gebruik.
In hierdie soort poslys of bewusmakingsprogram kan u die reeds klassieke voorbeeld van 'n vals koronavirusinfeksiekaart insluit, wat soortgelyk was aan die een Johns Hopkins Universiteit. eerbewyse was dat wanneer toegang tot 'n uitvissing-werf verkry is, wanware op die gebruiker se rekenaar geïnstalleer is, wat gebruikersrekeninginligting gesteel en dit aan kubermisdadigers gestuur het. ’n Variant van so ’n program het ook RDP-verbindings geskep vir afstandtoegang tot die slagoffer se rekenaar.
Terloops, oor HOP. Dit is nog 'n vektor vir aanvalle wat aanvallers meer aktief begin gebruik tydens die koronaviruspandemie. Baie maatskappye, wanneer hulle na afgeleë werk oorskakel, gebruik dienste soos RDP, wat, as hulle weens haas verkeerd gekonfigureer is, daartoe kan lei dat indringers beide afgeleë gebruikerrekenaars en binne die korporatiewe infrastruktuur binnedring. Boonop, selfs met die korrekte konfigurasie, kan verskeie RDP-implementerings kwesbaarhede hê wat deur aanvallers uitgebuit word. Byvoorbeeld, Cisco Talos veelvuldige kwesbaarhede in FreeRDP, en in Mei verlede jaar is 'n kritieke kwesbaarheid CVE-2019-0708 ontdek in die Miscrosoft Remote Desktop Service, wat toegelaat het dat arbitrêre kode op die slagoffer se rekenaar, wanware, ens. 'n Bulletin oor haar is selfs versprei , en, byvoorbeeld, Cisco Talos aanbevelings vir beskerming daarteen.
Daar is nog 'n voorbeeld van die uitbuiting van die onderwerp koronavirus - 'n werklike bedreiging van infeksie van die slagoffer se familie in geval van weiering om die losprys in bitcoins te betaal. Om die effek te versterk, om die brief betekenis te gee en 'n gevoel van die almag van die afperser te skep, is die wagwoord van die slagoffer van een van sy rekeninge wat verkry is van openbare databasisse van aanmeldings en wagwoorde in die teks van die brief ingevoeg.
In een van die voorbeelde hierbo het ek 'n uitvissingboodskap van die Wêreldgesondheidsorganisasie gewys. En hier is nog 'n voorbeeld waarin gebruikers gevra word vir finansiële bystand om COVID-19 te beveg (hoewel 'n fout in die woord "SKENKING" in die kopskrif in die brief onmiddellik die oog vang. En hulle vra vir hulp in bitcoins om te beskerm teen cryptocurrency dop.
En daar is baie sulke voorbeelde wat die deernis van gebruikers vandag ontgin:
Bitcoin hou op 'n ander manier verband met COVID-19. So lyk byvoorbeeld die posboodskappe wat baie Britse burgers ontvang wat by die huis sit en nie geld kan verdien nie (in Rusland sal dit ook nou relevant word).
Hierdie poslyste, wat as bekende koerante en nuuswebwerwe voorgedra word, bied 'n maklike manier om geld te verdien deur kripto-geldeenhede op spesiale webwerwe te ontgin. Trouens, na 'n rukkie kry jy 'n boodskap dat die bedrag wat jy verdien het na 'n spesiale rekening onttrek kan word, maar jy moet 'n klein hoeveelheid belasting voor dit oorplaas. Dit is duidelik dat die swendelaars, nadat hulle hierdie geld ontvang het, niks oordra in reaksie nie, en die liggelowige gebruiker verloor die oorgeplaasde geld.
Daar is nog 'n bedreiging wat verband hou met die Wêreldgesondheidsorganisasie. Kuberkrakers het die DNS-instellings van D-Link- en Linksys-roeteerders ingebreek, wat algemeen deur tuisgebruikers en klein besighede gebruik word, om hulle na 'n vals webwerf te herlei met 'n opspringwaarskuwing om die WGO-toepassing te installeer om op hoogte te bly van die jongste nuus oor die koronavirus. Terselfdertyd het die toepassing self die Oski-wanware bevat wat inligting steel.
'n Soortgelyke idee as 'n toepassing wat bygewerkte status oor COVID-19-infeksie bevat, word uitgebuit deur die CovidLock Android Trojan, wat versprei deur 'n toepassing wat na bewering "gesertifiseer" is deur die Amerikaanse departement van onderwys, WGO en die sentrums vir Siektebeheer en -voorkoming (CDC).
Baie gebruikers is vandag in self-isolasie en, omdat hulle nie wil of nie weet hoe om te kook nie, gebruik hulle aktief voedselafleweringsdienste, kruideniersware of ander goedere, soos toiletpapier. Aanvallers het hierdie vektor vir hul eie doeleindes bemeester. Byvoorbeeld, dit is hoe 'n kwaadwillige webwerf lyk soos 'n wettige hulpbron wat deur Canada Post besit word. Die skakel van die SMS wat deur die slagoffer ontvang is, lei na 'n webwerf wat inlig dat die bestelde goedere nie afgelewer kan word nie, aangesien slegs 3 dollar ontbreek, wat ekstra betaal moet word. In hierdie geval word die gebruiker na 'n bladsy gelei waar hulle die besonderhede van hul kredietkaart moet spesifiseer ... met al die gevolge daarvan.
Ten slotte wil ek nog twee voorbeelde gee van kuberbedreigings wat met COVID-19 verband hou. Byvoorbeeld, die inproppe "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" of "Covid-19" is ingebed in werwe op die gewilde WordPress-enjin en bevat, tesame met die vertoon van die koronavirusverspreidingskaart, ook die WP-VCD-wanware. En Zoom, wat baie, baie gewild geword het in die nasleep van die groei in die aantal aanlyn-geleenthede, het teëgekom wat kenners "Zoombombing" genoem het. Aanvallers, maar eintlik gewone porno-trollies, het met aanlyn geselsies en aanlyn vergaderings gekoppel en verskeie obsene video's gewys. Terloops, 'n soortgelyke bedreiging word vandag deur Russiese maatskappye teëgekom.
Ek dink die meeste van ons kyk gereeld na verskeie hulpbronne, beide amptelike en nie so nie, en vertel van die huidige status van die pandemie. Aanvallers buit hierdie onderwerp uit deur vir ons die "bygewerkte" inligting oor die koronavirus aan te bied, insluitend inligting "wat die owerhede vir jou wegsteek." Maar selfs gewone gewone gebruikers het onlangs dikwels aanvallers gehelp deur geverifieerde feite van “kennisse” en “vriende” uit te stuur. Sielkundiges sê dat sulke aktiwiteite van "alarmistiese" gebruikers wat alles uitstuur wat in hul gesigsveld val (veral in sosiale netwerke en kitsboodskappers wat nie meganismes het om teen sulke bedreigings te beskerm nie) hulle toelaat om betrokke te voel by die stryd teen 'n wêreldwye bedreiging en voel selfs soos helde wat die wêreld van die koronavirus red. Maar ongelukkig lei die gebrek aan spesiale kennis daartoe dat hierdie goeie bedoelings “almal hel toe lei”, nuwe bedreigings vir kuberveiligheid skep en die aantal slagoffers verhoog.
Trouens, ek kan aanhou en aanhou met voorbeelde van kuberbedreigings wat verband hou met die koronavirus; veral omdat kubermisdadigers nie stilstaan en met al hoe meer nuwe maniere vorendag kom om menslike passies uit te buit nie. Maar ek dink ons kan daar stop. Die prentjie is reeds duidelik en dit sê vir ons dat die situasie in die nabye toekoms net sal vererger. Gister het die Moskouse owerhede die stad met 'n bevolking van tien miljoen na selfisolasie oorgeplaas. Die owerhede van die Moskou-streek en baie ander streke van Rusland, sowel as ons naaste bure in die voormalige post-Sowjet-ruimte, het dieselfde gedoen. Dit beteken dat die aantal potensiële slagoffers op wie die pogings van kubermisdadigers gerig sal wees, baie keer sal toeneem. Daarom is dit die moeite werd om nie net jou sekuriteitstrategie te hersien nie, tot onlangs gefokus op die beskerming van slegs 'n korporatiewe of departementele netwerk, en te evalueer watter beskermingsinstrumente jy kort, maar ook hierdie voorbeelde in ag neem in jou personeelbewusmakingsprogram, wat besig is om 'n belangrike deel van die inligtingsekuriteitstelsel vir afgeleë werkers. A gereed om jou hiermee te help!
PS. By die voorbereiding van hierdie materiaal, materiaal van Cisco Talos, Naked Security, Anti-phishing, Malwarebytes Lab, ZoneAlarm, Reason Security en RiskIQ, die Amerikaanse Departement van Justisie, Bleeping Computer, SecurityAffairs, ens. P.
Bron: will.com