U tema di coronavirus oghje hà riempitu tutte e nutizie, è hè diventatu ancu u principale leitmotiv per diverse attività di attaccanti chì sfruttanu u tema di COVID-19 è tuttu ciò chì hè cunnessu cun ellu. In questa nota, vogliu attirà l'attenzione à alcuni esempi di tali attività maliziosa, chì, sicuru, ùn hè micca un sicretu per parechji specialisti di sicurezza di l'infurmazioni, ma u riassuntu di quale in una nota farà più faciule per preparà a vostra propria cuscenza. -aumentà avvenimenti per l'impiegati, alcuni di i quali travaglianu remotamente è altri più suscettibili à diverse minacce di sicurità di l'infurmazioni cà prima.
Un mumentu di cura da un UFO
U mondu hà dichjaratu ufficialmente una pandemia di COVID-19, una infezione respiratoria acuta potenzialmente severa causata da u coronavirus SARS-CoV-2 (2019-nCoV). Ci hè assai infurmazione nantu à Habré nantu à questu tema - ricordate sempre chì pò esse sia affidabile / utile è vice versa.
Vi ricumandemu à esse critichi di ogni infurmazione publicata.
Fonti ufficiali
- Siti web è gruppi ufficiali di sede operativa in e regioni
Sè vo ùn campà in Russia, per piacè riferite à siti simili in u vostru paese.
Lavate e mani, cura di i vostri amati, stà in casa se pussibule è travaglià remotamente.Leghjite publicazioni nantu à: |
Hè da nutà chì ùn ci sò micca minacce completamente novi assuciate cù coronavirus oghje. Piuttostu, parlemu di vettori d'attaccu chì sò digià diventati tradiziunali, simpliciamente usati in una nova "salsa". Allora, chjamà i tipi chjave di minacce:
- siti di phishing è newsletter ligati à coronavirus è codice malicioso cunnessu
- Frode è disinformazione destinate à sfruttà a paura o l'infurmazioni incomplete nantu à COVID-19
- attacchi contr'à l'urganisazioni implicati in a ricerca di coronavirus
In Russia, induve i citadini tradiziunalmente ùn anu micca fiducia in l'autorità è crede ch'elli anu ammucciatu a verità da elli, a probabilità di "promozione" successu di siti di phishing è liste di mailing, è ancu di risorse fraudulente, hè assai più altu ch'è in i paesi cù più aperti. autorità. Ancu s'ellu oghje nimu ùn si pò cunsiderà assulutamente prutetti da i cyber fraudsters creativi chì utilizanu tutti i debuli umani classici di una persona - timore, cumpassione, avidità, etc.
Pigliate, per esempiu, un situ fraudulente chì vende maschere mediche.
Un situ simili, CoronavirusMedicalkit[.]com, hè statu chjusu da l'autorità americane per a distribuzione di una vacuna COVID-19 inesistente gratuitamente cù "solu" affrancatura per spedite a medicina. In questu casu, cù un prezzu cusì bassu, u calculu era per a dumanda di pressa per a medicina in cundizioni di panicu in i Stati Uniti.
Questa ùn hè micca una minaccia cibernetica classica, postu chì u compitu di l'attaccanti in questu casu ùn hè micca di infettà l'utilizatori o di arrubbari i so dati persunali o l'infurmazioni d'identificazione, ma solu nantu à l'onda di paura per furzà à furzà è cumprà maschere mediche à prezzi inflati. da 5-10-30 volte sopra u costu attuale. Ma l'idea stessa di creà un situ web falsu sfruttendu u tema coronavirus hè ancu aduprata da i cibercriminali. Per esempiu, quì hè un situ chì u nome cuntene a keyword "covid19", ma chì hè ancu un situ di phishing.
In generale, monitoraghju ogni ghjornu u nostru serviziu di investigazione di incidenti , vedi quanti duminii sò creati chì i nomi cuntenenu e parolle covid, covid19, coronavirus, etc. È parechji di elli sò maliziusi.
In un ambiente induve alcuni di l'impiegati di a cumpagnia sò trasferiti à u travagliu da a casa è ùn sò micca prutetti da e misure di sicurezza corporativa, hè più impurtante chè mai per vigilà e risorse chì sò accessu da i dispositi mobili è desktop di l'impiegati, sapendu o senza u so. cunniscenza. Se ùn site micca usu di u serviziu per detectà è bluccà tali duminii (è Cisco cunnessione à stu serviziu hè avà gratis), dopu à un minimu cunfigurà e vostre suluzioni di surviglianza di l'accessu Web per monitorà i duminii cù e parolle chjave pertinenti. À u listessu tempu, ricordate chì l'approcciu tradiziunale di i duminii di lista negra, in quantu à l'usu di basa di dati di reputazione, pò fallu, postu chì i domini maliziusi sò creati assai rapidamente è sò usati solu in attacchi 1-2 per micca più di uni pochi d'ore - allora u l'attaccanti cambianu à novi domini effimeri. L'imprese di sicurezza di l'infurmazioni ùn anu micca u tempu di aghjurnà rapidamente e so basi di cunniscenza è di distribuisce à tutti i so clienti.
L'attaccanti cuntinuanu à sfruttà attivamente u canali di email per distribuisce ligami di phishing è malware in attachments. È a so efficacità hè abbastanza alta, postu chì l'utilizatori, mentre ricevenu mailings di nutizie cumplettamente legale nantu à coronavirus, ùn ponu micca sempre ricunnosce qualcosa di malicioso in u so voluminu. E mentri u numeru di persone infettate cresce solu, a gamma di tali minacce cresce ancu solu.
Per esempiu, questu hè un esempiu di un email di phishing in nome di u CDC:
Dopu à u ligame, sicuru, ùn porta micca à u situ web di u CDC, ma à una pagina falsa chì roba u login è a password di a vittima:
Eccu un esempiu di un email di phishing suppostamente in nome di l'Organizazione Mondiale di a Salute:
È in questu esempiu, l'attaccanti cuntanu nantu à u fattu chì parechje persone crede chì l'autorità piattanu a vera scala di l'infezzione da elli, è per quessa l'utilizatori felici è quasi senza esitazioni cliccà nantu à sti tipi di lettere cù ligami maliziusi o attache chì suppostamente revelarà tutti i sicreti.
Per via, ci hè un tali situ , chì permette di seguità diversi indicatori, per esempiu, a mortalità, u numeru di fumatori, a pupulazione in diversi paesi, etc. U situ web hà ancu una pagina dedicata à coronavirus. È cusì, quand'ellu ci sò andatu u 16 di marzu, aghju vistu una pagina chì per un mumentu m'hà fattu dubbità chì l'autorità ci dicenu a verità (ùn sò micca a ragione di sti numeri, forse solu un sbagliu) :
Una di l'infrastrutture populari chì l'attaccanti utilizanu per mandà email simili hè Emotet, una di e minacce più periculose è populari di l'ultimi tempi. I documenti Word attaccati à i missaghji email cuntenenu scaricatori Emotet, chì caricanu novi moduli maliziusi nantu à l'urdinatore di a vittima. Emotet hè statu inizialmente utilizatu per prumove ligami à siti fraudulenti chì vendenu maschere mediche, destinate à i residenti di u Giappone. Quì sottu vede u risultatu di l'analisi di un schedariu maliziusu cù sandboxing , chì analizà i fugliali per a malizia.
Ma l'attaccanti sfruttanu micca solu a capacità di lancià in MS Word, ma ancu in altre applicazioni Microsoft, per esempiu, in MS Excel (hè cusì chì u gruppu di pirate APT36 hà agitu), mandendu raccomandazioni per a lotta à u coronavirus da u Guvernu di l'India chì cuntene Crimson. RAT:
Un'altra campagna maliziosa chì sfrutta u tema di coronavirus hè Nanocore RAT, chì vi permette di installà prugrammi nantu à l'urdinatori vittime per l'accessu remotu, intercepte i colpi di tastiera, catturà l'imaghjini di u screnu, accede à i fugliali, etc.
È Nanocore RAT hè generalmente mandatu per e-mail. Per esempiu, quì sottu vede un missaghju di mail d'esempiu cù un archiviu ZIP attaccatu chì cuntene un schedariu PIF eseguibile. Cliccà nantu à u schedariu eseguibile, a vittima stalla un prugramma di accessu remotu (Remote Access Tool, RAT) in u so urdinatore.
Eccu un altru esempiu di una campagna parassita nantu à u tema di COVID-19. L'utilizatore riceve una lettera annantu à un suppostu ritardu di consegna per coronavirus cù una fattura allegata cù l'estensione .pdf.ace. Dentru l'archiviu cumpressu hè un cuntenutu eseguibile chì stabilisce una cunnessione à u servitore di cumandamentu è di cuntrollu per riceve cumandamenti supplementari è eseguisce altri scopi attaccanti.
Parallax RAT hà una funziunalità simili, chì distribuisce un schedariu chjamatu "nuvellu cielo CORONAVIRUS infettatu 03.02.2020/XNUMX/XNUMX.pif" è chì stalla un prugramma maliziusu chì interagisce cù u so servitore di cumanda via u protocolu DNS. Strumenti di prutezzione di classi EDR, un esempiu di quale hè , è sia NGFW aiuterà à monitorà e cumunicazioni cù i servitori di cumandamentu (per esempiu, ), o strumenti di monitoraghju DNS (per esempiu, ).
In l'esempiu quì sottu, u malware d'accessu remotu hè statu installatu in l'urdinatore di una vittima chì, per una ragione scunnisciuta, hà compru in publicità chì un prugramma antivirus regulare installatu in un PC puderia prutegge da u veru COVID-19. È dopu à tuttu, qualchissia hè cascatu per una tale scherzu apparentemente.
Ma trà i malware ci sò ancu cose veramente strane. Per esempiu, i schedarii di scherzu chì emulanu u travagliu di ransomware. In un casu, a nostra divisione Cisco Talos un schedariu chjamatu CoronaVirus.exe, chì hà bluccatu u screnu durante l'esekzione è hà iniziatu un timer è u missaghju "sguassendu tutti i fugliali è i cartulare in questu computer - coronavirus".
Dopu à a fine di u countdown, u buttone in u fondu hè diventatu attivu è quandu pressatu, u missaghju seguente hè statu affissatu, dicendu chì questu era tuttu un scherzu è chì duvete appughjà Alt + F12 per finisce u prugramma.
A lotta contru i mailings maliziusi pò esse automatizatu, per esempiu, usendu , chì vi permette di detectà micca solu cuntenutu maliziusi in attachments, ma ancu tracciate ligami di phishing è clicchi nantu à elli. Ma ancu in questu casu, ùn deve micca scurdate di a furmazione di l'utilizatori è di cunduce regularmente simulazioni di phishing è esercizii cyber, chì preparanu l'utilizatori per diversi trucchi d'attaccanti destinati à i vostri utilizatori. In particulare s'ellu travaglianu remotamente è per mezu di u so email persunale, u codice maliziusu pò penetrà in a reta corporativa o dipartimentale. Quì puderia ricumandemu una nova suluzione , chì permette micca solu di realizà micro- è nano-formazione di u persunale nantu à prublemi di sicurità di l'infurmazioni, ma ancu di urganizà simulazioni di phishing per elli.
Ma se per una certa ragione ùn site micca prontu à aduprà tali suluzioni, allora vale a pena almenu urganizà mailings regularmente à i vostri impjegati cù un ricordu di u periculu di phishing, i so esempi è una lista di reguli per un cumpurtamentu sicuru (a cosa principal hè chì l'attaccanti ùn si disfrazzanu micca da elli). A propositu, unu di i risichi pussibuli in l'attuale hè phishing mailings masquerading as letters from your management, chì presuntamente parlanu di novi regule è prucedure per u travagliu remoto, u software obligatoriu chì deve esse installatu in computer remoti, etc. È ùn vi scurdate chì, in più di l'email, i cibercriminali ponu utilizà messageri instantani è e rete suciale.
In stu tipu di prugramma di mailing o di sensibilizazione, pudete ancu include l'esempiu digià classicu di una falsa mappa di infezione da coronavirus, chì era simile à quella. Università Johns Hopkins. Differenza era chì quandu accede à un situ di phishing, malware hè stallatu nantu à l'urdinatore di l'utilizatori, chì arrubbanu l'infurmazioni di u contu di l'utilizatori è l'hà mandatu à i cibercriminali. Una versione di un tali prugramma hà ancu creatu cunnessione RDP per l'accessu remoto à l'urdinatore di a vittima.
A propositu di RDP. Questu hè un altru vettore d'attaccu chì l'attaccanti cumincianu à aduprà più attivamente durante a pandemia di coronavirus. Parechje cumpagnie, quandu passanu à u travagliu remotu, utilizanu servizii cum'è RDP, chì, se cunfigurati in modu incorrectu per via di a fretta, ponu purtà à l'attaccanti chì si infiltranu in l'ordinateur di l'utilizatori remoti è in l'infrastruttura corporativa. Inoltre, ancu cù una cunfigurazione curretta, diverse implementazioni RDP ponu avè vulnerabili chì ponu esse sfruttati da l'attaccanti. Per esempiu, Cisco Talos multiplicità di vulnerabilità in FreeRDP, è in maghju di l'annu passatu, una vulnerabilità critica CVE-2019-0708 hè stata scuperta in u serviziu Microsoft Remote Desktop, chì hà permessu di eseguisce codice arbitrariu in l'urdinatore di a vittima, malware per esse introduttu, etc. Un newsletter annantu à ella hè statu ancu distribuitu , è, per esempiu, Cisco Talos raccomandazioni per a prutezzione contru.
Ci hè un altru esempiu di sfruttamentu di u tema coronavirus - a vera minaccia d'infezzione di a famiglia di a vittima si ricusanu di pagà u riscattu in bitcoins. Per rinfurzà l'effettu, per dà u significatu di a lettera è creà un sensu di omnipotenza di l'extortionist, a password di a vittima da unu di i so cunti, ottenuta da basa di dati publichi di logins è password, hè stata inserita in u testu di a lettera.
In unu di l'esempii sopra, aghju dimustratu un missaghju di phishing da l'Organizazione Mondiale di a Salute. È quì hè un altru esempiu in quale l'utilizatori sò dumandati aiutu finanziariu per luttà contra COVID-19 (ancu se in l'intestazione in u corpu di a lettera, a parolla "DONAZIONE" hè subitu notevuli). È dumandanu aiutu in bitcoins per pruteggiri contru traccia di criptocurrency.
È oghje ci sò parechji esempii chì sfruttanu a cumpassione di l'utilizatori:
Bitcoins sò ligati à COVID-19 in un altru modu. Per esempiu, questu hè ciò chì pareanu i mailings ricevuti da parechji citadini britannichi chì sò seduti in casa è ùn ponu micca guadagnà soldi (in Russia avà questu serà ancu pertinenti).
Masquerading cum'è ghjurnali ben cunnisciuti è siti di nutizie, sti mailings offrenu soldi faciuli minendu criptu di muniti in siti speciale. In fatti, dopu à qualchì tempu, riceve un missaghju chì a quantità chì avete guadagnatu pò esse ritirata à un cuntu speciale, ma avete bisognu di trasfiriri una piccula quantità di tassi prima di questu. Hè chjaru chì dopu avè ricivutu questi soldi, i scammers ùn trasfirìanu nunda in cambiu, è l'utilizatore gullible perde i soldi trasferitu.
Ci hè una altra minaccia assuciata cù l'Organizazione Mondiale di a Salute. I pirate pirate i paràmetri DNS di i routers D-Link è Linksys, spessu usati da l'utilizatori di casa è di e piccule imprese, per reindirizzarli à un situ web falsu cù un avvisu pop-up nantu à a necessità di installà l'app WHO, chì li mantene. aggiornatu cù l'ultime nutizie nantu à u coronavirus. Inoltre, l'applicazione stessa cuntene u prugramma maliziusu Oski, chì roba l'infurmazioni.
Una idea simile cù una applicazione chì cuntene u statu attuale di l'infezione COVID-19 hè sfruttata da u trojanu Android CovidLock, chì hè distribuitu attraversu una applicazione chì hè suppostamente "certificata" da u Dipartimentu di l'Educazione di i Stati Uniti, l'OMS è u Centru per u Controlu Epidemicu ( CDC).
Parechji utilizatori oghje sò in autoisolamentu è, ùn volenu o incapaci di coccia, usanu attivamente i servizii di consegna per l'alimentariu, l'alimentarii o altri beni, cum'è a carta igienica. L'attaccanti anu ancu maestru di stu vettore per i so propiu scopi. Per esempiu, questu hè ciò chì pare un situ web maliziusu, simile à una risorsa legittima di u Canada Post. U ligame da l'SMS ricevutu da a vittima porta à un situ web chì informa chì u pruduttu urdinatu ùn pò micca esse mandatu perchè solu $ 3 mancanu, chì deve esse pagatu extra. In questu casu, l'utilizatore hè direttu à una pagina induve deve indicà i dettagli di a so carta di creditu ... cù tutte e cunsequenze chì ne seguitanu.
In cunclusione, vogliu dà dui esempi più di minacce cibernetiche legate à COVID-19. Per esempiu, i plugins "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" o "Covid-19" sò integrati in siti chì utilizanu u pupulare mutore WordPress è, cù a visualizazione di una mappa di a diffusione di u coronavirus, cuntene ancu u malware WP-VCD. È a cumpagnia Zoom, chì, in seguitu à a crescita di u numeru di avvenimenti in linea, hè diventata assai, assai populari, hè stata affruntata da ciò chì l'esperti chjamanu "Zoombombing". L'attaccanti, ma in realtà i trolls porno ordinari, cunnessi à chats online è riunioni in linea è mostranu diversi video osceni. In modu, una minaccia simili hè scontru oghje da cumpagnie russe.
Pensu chì a maiò parte di noi cuntrolla regularmente diverse risorse, sia ufficiali sia micca cusì ufficiali, nantu à u statu attuale di a pandemia. L'attaccanti sfruttanu stu tema, offrenduci l'"ultime" infurmazioni nantu à u coronavirus, cumprese l'infurmazioni "chì l'autorità ti nascondenu". Ma ancu l'utilizatori ordinariu ordinariu anu recentemente aiutatu spessu à l'attaccanti mandendu codici di fatti verificati da "cunniscenza" è "amici". I psiculoghi dicenu chì una tale attività di l'utilizatori "alarmisti" chì mandanu tuttu ciò chì vene in u so campu di visione (in particulare in e rete soziale è i messageri instantani, chì ùn anu micca miccanismi di prutezzione contru tali minacce), li permette di sentenu implicati in a lotta contru. una minaccia glubale è, ancu sentu cum'è eroi chì salvanu u mondu da coronavirus. Ma, sfurtunatamenti, a mancanza di cunniscenze spiciali porta à u fattu chì sti boni intenzioni "portanu tutti à l'infernu", creendu novi minacce di cibersecurità è espansione u numeru di vittimi.
In fatti, puderia cuntinuà cù esempi di minacce cibernetiche ligati à coronavirus; Inoltre, i cibercriminali ùn si fermanu è venenu sempre più novi modi per sfruttà e passioni umani. Ma pensu chì pudemu piantà quì. A stampa hè digià chjara è ci dice chì in un futuru vicinu a situazione serà solu peghju. Ieri, l'autorità di Mosca anu messu a cità di deci milioni di persone in autoisolamentu. L'autorità di a regione di Mosca è parechje altre regioni di Russia, è ancu i nostri vicini più vicini in l'ex spaziu post-sovieticu, anu fattu u listessu. Questu significa chì u nùmeru di vittimi potenziali destinati à i cibercriminali aumenterà parechje volte. Per quessa, vale a pena micca solu ricunsiderà a vostra strategia di sicurità, chì finu à pocu tempu era focu annantu à a prutezzione solu di una reta corporativa o dipartimentale, è valutà ciò chì strumenti di prutezzione vi mancanu, ma ancu piglià in contu l'esempii dati in u vostru prugramma di sensibilizazione di u persunale, chì hè diventendu una parte impurtante di u sistema di sicurità di l'infurmazioni per i travagliadori remoti. A pronta à aiutà vi cun questu!
PS. In a preparazione di stu materiale, sò stati utilizati materiali da Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security è cumpagnie RiskIQ, u Dipartimentu di Ghjustizia di i Stati Uniti, risorse Bleeping Computer, SecurityAffairs, etc.
Source: www.habr.com