El tema del coronavirus avui ha omplert tots els canals de notícies i també s'ha convertit en el leitmotiv principal de diverses activitats d'atacants que exploten el tema de la COVID-19 i tot allò relacionat amb ell. En aquesta nota, m'agradaria cridar l'atenció sobre alguns exemples d'aquesta activitat maliciosa, que, per descomptat, no és un secret per a molts especialistes en seguretat de la informació, però el resum del qual en una nota facilitarà la preparació de la vostra pròpia consciència. -Producció d'esdeveniments per als empleats, alguns dels quals treballen a distància i d'altres més susceptibles a diverses amenaces de seguretat de la informació que abans.
Un moment de cura d'un OVNI
El món ha declarat oficialment una pandèmia de COVID-19, una infecció respiratòria aguda potencialment greu causada pel coronavirus SARS-CoV-2 (2019-nCoV). Hi ha molta informació sobre Habré sobre aquest tema; recordeu sempre que pot ser fiable/útil i viceversa.
Us animem a ser crític amb qualsevol informació publicada.
Fonts oficials
- Webs i grups oficials de les seus operatives a les regions
Si no vius a Rússia, consulta llocs similars al teu país.
Rentar-se les mans, cuidar els seus éssers estimats, quedar-se a casa si és possible i treballar a distància.Llegeix publicacions sobre: |
Cal tenir en compte que avui dia no hi ha amenaces completament noves associades al coronavirus. Més aviat, estem parlant de vectors d'atac que ja s'han convertit en tradicionals, simplement utilitzats en una nova "salsa". Per tant, els anomenaria els tipus clau d'amenaces:
- llocs de pesca i butlletins de notícies relacionats amb el coronavirus i el codi maliciós relacionat
- Frau i desinformació dirigits a explotar la por o la informació incompleta sobre COVID-19
- atacs contra organitzacions implicades en la investigació del coronavirus
A Rússia, on els ciutadans tradicionalment no confien en les autoritats i creuen que els hi amaguen la veritat, la probabilitat de "promocionar" amb èxit els llocs de pesca i les llistes de correu, així com els recursos fraudulents, és molt més gran que en països amb més obertures. autoritats. Encara que avui ningú es pot considerar absolutament protegit dels ciberdefraudadors creatius que utilitzen totes les debilitats humanes clàssiques d'una persona: por, compassió, cobdícia, etc.
Preneu, per exemple, un lloc fraudulent que ven màscares mèdiques.
Un lloc similar, CoronavirusMedicalkit[.]com, va ser tancat per les autoritats nord-americanes per distribuir gratuïtament una vacuna contra la COVID-19 inexistent amb franqueig "només" per enviar el medicament. En aquest cas, amb un preu tan baix, el càlcul va ser per la demanda precipitada del medicament en condicions de pànic als Estats Units.
No es tracta d'una amenaça cibernètica clàssica, ja que la tasca dels atacants en aquest cas no és infectar els usuaris o robar les seves dades personals o informació d'identificació, sinó simplement sobre l'onada de por per obligar-los a comprar màscares mèdiques a preus inflats. superant 5-10-30 vegades el cost real. Però la idea mateixa de crear un lloc web fals que exploti el tema del coronavirus també està sent utilitzada pels ciberdelinqüents. Per exemple, aquí hi ha un lloc el nom del qual conté la paraula clau "covid19", però que també és un lloc de pesca.
En general, seguiment diari del nostre servei d'investigació d'incidències , veus quants dominis s'estan creant els noms dels quals contenen les paraules covid, covid19, coronavirus, etc. I molts d'ells són maliciosos.
En un entorn on alguns dels empleats de l'empresa són traslladats a la feina des de casa i no estan protegits per mesures de seguretat corporativa, és més important que mai controlar els recursos als quals s'accedeix des dels dispositius mòbils i d'escriptori dels empleats, amb coneixement o sense coneixement. Si no utilitzeu el servei per detectar i bloquejar aquests dominis (i Cisco la connexió a aquest servei ara és gratuïta), llavors, com a mínim, configureu les vostres solucions de monitorització d'accés web per supervisar dominis amb paraules clau rellevants. Al mateix temps, recordeu que l'enfocament tradicional per incloure dominis a llistes negres, així com l'ús de bases de dades de reputació, pot fallar, ja que els dominis maliciosos es creen molt ràpidament i s'utilitzen només en 1-2 atacs durant no més d'unes hores; els atacants canvien a nous dominis efímers. Les empreses de seguretat de la informació simplement no tenen temps per actualitzar ràpidament les seves bases de coneixement i distribuir-les a tots els seus clients.
Els atacants continuen explotant activament el canal de correu electrònic per distribuir enllaços de pesca i programari maliciós als fitxers adjunts. I la seva eficàcia és bastant alta, ja que els usuaris, tot i que reben missatges de notícies completament legals sobre coronavirus, no sempre poden reconèixer alguna cosa maliciós en el seu volum. I encara que el nombre de persones infectades no fa més que augmentar, la gamma d'aquestes amenaces també augmentarà.
Per exemple, aquest és el que sembla un exemple de correu electrònic de pesca en nom del CDC:
Seguir l'enllaç, per descomptat, no porta al lloc web de CDC, sinó a una pàgina falsa que roba l'inici de sessió i la contrasenya de la víctima:
Aquí teniu un exemple d'un correu electrònic de pesca suposadament en nom de l'Organització Mundial de la Salut:
I en aquest exemple, els atacants compten amb el fet que molta gent creu que les autoritats els estan ocultant la veritable escala de la infecció i, per tant, els usuaris fan clic amb alegria i gairebé sense dubtar sobre aquest tipus de cartes amb enllaços o fitxers adjunts maliciosos que suposadament revelarà tots els secrets.
Per cert, hi ha un lloc així , que permet fer un seguiment de diversos indicadors, per exemple, la mortalitat, el nombre de fumadors, la població dels diferents països, etc. El web també té una pàgina dedicada al coronavirus. I així, quan hi vaig anar el 16 de març, vaig veure una pàgina que per un moment em va fer dubtar que les autoritats ens diguessin la veritat (no sé quin és el motiu d'aquests números, potser només un error):
Una de les infraestructures populars que utilitzen els atacants per enviar correus electrònics similars és Emotet, una de les amenaces més perilloses i populars dels últims temps. Els documents de Word adjunts als missatges de correu electrònic contenen descarregadors d'Emotet, que carreguen nous mòduls maliciosos a l'ordinador de la víctima. Emotet es va utilitzar inicialment per promoure enllaços a llocs fraudulents que venien màscares mèdiques, dirigits als residents del Japó. A continuació, veureu el resultat de l'anàlisi d'un fitxer maliciós mitjançant sandboxing , que analitza els fitxers per si hi ha maliciosa.
Però els atacants exploten no només la capacitat de llançar-se en MS Word, sinó també en altres aplicacions de Microsoft, per exemple, en MS Excel (així és com va actuar el grup de pirates informàtics APT36), enviant recomanacions sobre la lluita contra el coronavirus del govern de l'Índia que conté Crimson. RATA:
Una altra campanya maliciosa que explota el tema del coronavirus és Nanocore RAT, que us permet instal·lar programes als ordinadors víctimes per a l'accés remot, interceptar cops de teclat, capturar imatges de pantalla, accedir a fitxers, etc.
I el Nanocore RAT normalment es lliura per correu electrònic. Per exemple, a continuació veureu un missatge de correu d'exemple amb un arxiu ZIP adjunt que conté un fitxer PIF executable. En fer clic al fitxer executable, la víctima instal·la un programa d'accés remot (Remote Access Tool, RAT) al seu ordinador.
Aquí teniu un altre exemple d'una campanya parasitària sobre el tema de la COVID-19. L'usuari rep una carta sobre un suposat retard de lliurament a causa del coronavirus amb una factura adjunta amb l'extensió .pdf.ace. Dins de l'arxiu comprimit hi ha contingut executable que estableix una connexió amb el servidor d'ordres i control per rebre ordres addicionals i realitzar altres objectius atacants.
Parallax RAT té una funcionalitat similar, que distribueix un fitxer anomenat "nou CORONAVIRUS sky infectat 03.02.2020/XNUMX/XNUMX.pif" i que instal·la un programa maliciós que interactua amb el seu servidor d'ordres mitjançant el protocol DNS. Eines de protecció de classe EDR, un exemple de les quals és , i NGFW ajudarà a supervisar les comunicacions amb servidors d'ordres (per exemple, ), o eines de supervisió de DNS (per exemple, ).
A l'exemple següent, s'ha instal·lat programari maliciós d'accés remot a l'ordinador d'una víctima que, per algun motiu desconegut, va comprar per anunciar que un programa antivirus normal instal·lat en un ordinador podria protegir contra la COVID-19 real. I després de tot, algú es va enamorar d'una broma semblant.
Però entre el programari maliciós també hi ha coses realment estranyes. Per exemple, fitxers de broma que emulen el treball del ransomware. En un cas, la nostra divisió de Cisco Talos un fitxer anomenat CoronaVirus.exe, que va bloquejar la pantalla durant l'execució i va iniciar un temporitzador i el missatge "suprimint tots els fitxers i carpetes d'aquest ordinador: coronavirus".
Un cop finalitzat el compte enrere, el botó de la part inferior es va activar i quan es va prémer, es va mostrar el següent missatge que deia que tot era una broma i que hauríeu de prémer Alt+F12 per finalitzar el programa.
La lluita contra els correus maliciosos es pot automatitzar, per exemple, utilitzant , que us permet detectar no només contingut maliciós als fitxers adjunts, sinó també fer un seguiment dels enllaços de pesca i dels clics que hi fan. Però fins i tot en aquest cas, no us heu d'oblidar de la formació dels usuaris i la realització periòdica de simulacions de pesca i exercicis cibernètics, que prepararan els usuaris per a diferents trucs d'atacants dirigits contra els vostres usuaris. Sobretot si treballen de forma remota i mitjançant el seu correu electrònic personal, el codi maliciós pot penetrar a la xarxa corporativa o departamental. Aquí podria recomanar una nova solució , que permet no només realitzar micro i nanoformació del personal sobre temes de seguretat de la informació, sinó també organitzar simulacions de pesca per a ells.
Però si per alguna raó no esteu preparat per utilitzar aquestes solucions, val la pena, almenys, organitzar correus regulars als vostres empleats amb un recordatori del perill de pesca, els seus exemples i una llista de normes de comportament segur (el més important és que els atacants no es disfressen d'ells). Per cert, un dels possibles riscos en l'actualitat són els correus de phishing disfressats de cartes de la vostra direcció, que suposadament parlen de noves normes i procediments per al treball remot, programari obligatori que s'ha d'instal·lar als ordinadors remots, etc. I no oblideu que, a més del correu electrònic, els ciberdelinqüents poden utilitzar missatgeria instantània i xarxes socials.
En aquest tipus de correu o programa de conscienciació, també podeu incloure l'exemple ja clàssic d'un mapa d'infecció per coronavirus fals, que era similar al Universitat Johns Hopkins. Diferència va ser que en accedir a un lloc de pesca, s'instal·lava programari maliciós a l'ordinador de l'usuari, que robava la informació del compte d'usuari i l'enviava als ciberdelinqüents. Una versió d'aquest programa també va crear connexions RDP per a l'accés remot a l'ordinador de la víctima.
Per cert, sobre RDP. Aquest és un altre vector d'atac que els atacants comencen a utilitzar de manera més activa durant la pandèmia de coronavirus. Moltes empreses, quan passen al treball remot, utilitzen serveis com RDP, que, si es configuren incorrectament per pressa, poden provocar que els atacants s'infiltrin tant als ordinadors dels usuaris remots com a l'interior de la infraestructura corporativa. A més, fins i tot amb una configuració correcta, diverses implementacions RDP poden tenir vulnerabilitats que poden ser explotades pels atacants. Per exemple, Cisco Talos múltiples vulnerabilitats a FreeRDP i el maig de l'any passat es va descobrir una vulnerabilitat crítica CVE-2019-0708 al servei d'escriptori remot de Microsoft, que permetia executar codi arbitrari a l'ordinador de la víctima, introduir programari maliciós, etc. Fins i tot es va distribuir un butlletí sobre ella , i, per exemple, Cisco Talos recomanacions per protegir-ne.
Hi ha un altre exemple de l'explotació del tema del coronavirus: l'amenaça real d'infecció de la família de la víctima si es neguen a pagar el rescat en bitcoins. Per millorar l'efecte, per donar significat a la lletra i crear una sensació d'omnipotencia de l'extorsionador, es va inserir al text de la carta la contrasenya de la víctima d'un dels seus comptes, obtinguda de bases de dades públiques d'inicis de sessió i contrasenyes.
En un dels exemples anteriors, vaig mostrar un missatge de pesca de l'Organització Mundial de la Salut. I aquí hi ha un altre exemple en què es demana ajuda econòmica als usuaris per lluitar contra el COVID-19 (tot i que a la capçalera del cos de la carta es nota immediatament la paraula "DONACIÓ") i demanen ajuda en bitcoins per protegir-se contra seguiment de criptomoneda.
I avui hi ha molts exemples d'aquest tipus que exploten la compassió dels usuaris:
Els bitcoins estan relacionats amb la COVID-19 d'una altra manera. Per exemple, així són els correus rebuts per molts ciutadans britànics que estan asseguts a casa i no poden guanyar diners (a Rússia ara també es farà rellevant).
Acostumats a diaris i llocs de notícies coneguts, aquests enviaments ofereixen diners fàcils mitjançant la mineria de criptomonedes en llocs especials. De fet, després d'un temps, rebeu un missatge que us indica que l'import que heu guanyat es pot retirar a un compte especial, però abans heu de transferir una petita quantitat d'impostos. Està clar que després de rebre aquests diners, els estafadors no transfereixen res a canvi i l'usuari crédule perd els diners transferits.
Hi ha una altra amenaça associada a l'Organització Mundial de la Salut. Els pirates informàtics van piratejar la configuració del DNS dels encaminadors D-Link i Linksys, sovint utilitzats per usuaris domèstics i petites empreses, per redirigir-los a un lloc web fals amb un advertiment emergent sobre la necessitat d'instal·lar l'aplicació de l'OMS, que els mantindrà. al dia de les últimes notícies sobre el coronavirus. A més, la pròpia aplicació contenia el programa maliciós Oski, que roba informació.
Una idea similar amb una aplicació que conté l'estat actual de la infecció per COVID-19 l'explota el troià Android CovidLock, que es distribueix a través d'una aplicació que suposadament està "certificada" pel Departament d'Educació dels EUA, l'OMS i el Centre de Control d'Epidèmies ( CDC).
Molts usuaris d'avui es troben aïllats i, no volen o no poden cuinar, utilitzen activament els serveis de lliurament d'aliments, queviures o altres béns, com ara paper higiènic. Els atacants també han dominat aquest vector per als seus propis propòsits. Per exemple, aquest és l'aspecte d'un lloc web maliciós, semblant a un recurs legítim propietat de Canada Post. L'enllaç de l'SMS rebut per la víctima condueix a un lloc web que informa que el producte demanat no es pot lliurar perquè només falten 3 dòlars, que s'han de pagar extra. En aquest cas, l'usuari es dirigeix a una pàgina on ha d'indicar les dades de la seva targeta de crèdit... amb totes les conseqüències que se'n deriven.
En conclusió, m'agradaria donar dos exemples més d'amenaces cibernètiques relacionades amb la COVID-19. Per exemple, els connectors "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" o "Covid-19" s'incorporen als llocs que utilitzen el popular motor de WordPress i, juntament amb mostrar un mapa de la propagació del coronavirus, també contenen el programari maliciós WP-VCD. I l'empresa Zoom, que, arran del creixement del nombre d'esdeveniments en línia, es va fer molt, molt popular, es va enfrontar al que els experts van anomenar "Zoombombing". Els atacants, però de fet trolls pornogràfics normals, es van connectar a xats en línia i reunions en línia i van mostrar diversos vídeos obscens. Per cert, avui les empreses russes es troben amb una amenaça similar.
Crec que la majoria de nosaltres consultem regularment diversos recursos, tant oficials com no tan oficials, sobre l'estat actual de la pandèmia. Els atacants estan explotant aquest tema, oferint-nos la "última" informació sobre el coronavirus, inclosa la informació "que les autoritats us estan amagant". Però fins i tot els usuaris corrents i corrents recentment sovint han ajudat els atacants enviant codis de fets verificats de "coneguts" i "amics". Els psicòlegs asseguren que aquesta activitat d'usuaris “alarmaris” que envien tot allò que entra al seu camp de visió (especialment a les xarxes socials i missatgeria instantània, que no disposen de mecanismes de protecció davant d'aquestes amenaces), els permet sentir-se implicats en la lluita contra una amenaça global i, fins i tot, se senten herois que salven el món del coronavirus. Però, malauradament, la manca de coneixements especials fa que aquestes bones intencions "portin a tothom a l'infern", creant noves amenaces a la ciberseguretat i ampliant el nombre de víctimes.
De fet, podria continuar amb exemples d'amenaces cibernètiques relacionades amb el coronavirus; A més, els ciberdelinqüents no es queden quiets i presenten cada cop més maneres noves d'explotar les passions humanes. Però crec que ens podem aturar aquí. El panorama ja és clar i ens diu que en un futur proper la situació només empitjorarà. Ahir, les autoritats de Moscou van posar en autoaïllament la ciutat de deu milions de persones. Les autoritats de la regió de Moscou i moltes altres regions de Rússia, així com els nostres veïns més propers a l'antic espai postsoviètic, van fer el mateix. Això significa que el nombre de víctimes potencials apuntades pels ciberdelinqüents augmentarà moltes vegades. Per tant, val la pena no només reconsiderar la teva estratègia de seguretat, que fins fa poc estava enfocada a protegir només una xarxa corporativa o departamental, i valorar quines eines de protecció et falten, sinó també tenir en compte els exemples donats en el teu programa de conscienciació del personal, que és convertint-se en una part important del sistema de seguretat de la informació per als treballadors remots. A preparat per ajudar-te amb això!
PS. En la preparació d'aquest material, s'han utilitzat materials de les empreses Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security i RiskIQ, el Departament de Justícia dels EUA, Bleeping Computer, SecurityAffairs, etc.
Font: www.habr.com