Téma koronaviru dnes zaplnilo všechny zpravodajské kanály a stalo se také hlavním leitmotivem různých aktivit útočníků zneužívajících téma COVID-19 a vše s tím spojené. V této poznámce bych rád upozornil na některé příklady takovéto zákeřné činnosti, která samozřejmě není tajemstvím mnoha specialistů na informační bezpečnost, ale jejíž shrnutí v jedné poznámce vám usnadní přípravu vlastní informovanosti - pořádání akcí pro zaměstnance, z nichž někteří pracují na dálku a jiní jsou náchylnější k různým hrozbám informační bezpečnosti než dříve.
Minuta péče od UFO
Svět oficiálně vyhlásil pandemii COVID-19, potenciálně závažné akutní respirační infekce způsobené koronavirem SARS-CoV-2 (2019-nCoV). O Habrém je na toto téma mnoho informací – vždy pamatujte, že mohou být spolehlivé/užitečné a naopak.
Doporučujeme vám, abyste byli kritičtí ke všem zveřejněným informacím.
Oficiální zdroje
- Webové stránky a oficiální skupiny operačních velitelství v regionech
Pokud nežijete v Rusku, podívejte se na podobné stránky ve vaší zemi.
Umyjte si ruce, postarejte se o své blízké, pokud možno zůstaňte doma a pracujte na dálku.Přečtěte si publikace o: |
Je třeba poznamenat, že dnes neexistují žádné zcela nové hrozby spojené s koronavirem. Spíše mluvíme o útočných vektorech, které se již staly tradičními, jednoduše použité v nové „omáčce“. Takže bych nazval klíčové typy hrozeb:
- phishingové stránky a zpravodaje související s koronavirem a souvisejícím škodlivým kódem
- Podvody a dezinformace zaměřené na zneužívání strachu nebo neúplných informací o COVID-19
- útoky na organizace zapojené do výzkumu koronaviru
V Rusku, kde občané tradičně nedůvěřují úřadům a domnívají se, že před nimi skrývají pravdu, je pravděpodobnost úspěšné „propagace“ phishingových stránek a e-mailových seznamů a také podvodných zdrojů mnohem vyšší než v zemích s otevřenějším úřady. I když se dnes nikdo nemůže považovat za absolutně chráněného před kreativními kybernetickými podvodníky, kteří využívají všechny klasické lidské slabosti člověka – strach, soucit, chamtivost atd.
Vezměte si například podvodnou stránku prodávající lékařské roušky.
Podobnou stránku CoronavirusMedicalkit[.]com zrušily americké úřady kvůli bezplatné distribuci neexistující vakcíny proti COVID-19 s „pouze“ poštovným za odeslání léku. V tomto případě, s tak nízkou cenou, byla kalkulace počítána pro náhlou poptávku po léku v podmínkách paniky ve Spojených státech.
Nejedná se o klasickou kybernetickou hrozbu, protože úkolem útočníků v tomto případě není nakazit uživatele nebo ukrást jejich osobní údaje nebo identifikační údaje, ale jednoduše je na vlně strachu donutit vyndat a koupit lékařské roušky za přemrštěné ceny. 5-10-30krát převyšující skutečné náklady. Ale samotnou myšlenku vytvoření falešné webové stránky využívající téma koronaviru využívají i kyberzločinci. Zde je například stránka, jejíž název obsahuje klíčové slovo „covid19“, ale která je také phishingovou stránkou.
Obecně platí, že každodenní sledování naší služby vyšetřování incidentů , vidíte, kolik domén se vytváří, jejichž názvy obsahují slova covid, covid19, koronavirus atd. A mnoho z nich je zlomyslných.
V prostředí, kde jsou někteří zaměstnanci společnosti převedeni do práce z domova a nejsou chráněni podnikovými bezpečnostními opatřeními, je důležitější než kdy jindy sledovat zdroje, ke kterým mají zaměstnanci přístup z mobilních a stolních zařízení, ať už vědomě nebo bez jejich znalost. Pokud službu nevyužíváte k detekci a blokování takových domén (a Cisco připojení k této službě je nyní zdarma), poté alespoň nakonfigurujte svá řešení pro monitorování přístupu na web tak, aby monitorovala domény s relevantními klíčovými slovy. Zároveň mějte na paměti, že tradiční přístup k černé listině domén, stejně jako používání reputačních databází, může selhat, protože škodlivé domény se vytvářejí velmi rychle a jsou použity pouze v 1-2 útocích na dobu ne delší než několik hodin. útočníci přecházejí na nové efemérní domény. Společnosti zabývající se informační bezpečností prostě nemají čas rychle aktualizovat své znalostní báze a distribuovat je všem svým klientům.
Útočníci nadále aktivně využívají e-mailový kanál k distribuci phishingových odkazů a malwaru v přílohách. A jejich účinnost je poměrně vysoká, protože uživatelé, kteří dostávají zcela legální zprávy o koronaviru, nemohou vždy rozpoznat ve svém objemu něco škodlivého. A zatímco počet nakažených jen roste, rozsah takových hrozeb bude také jen růst.
Takto například vypadá příklad phishingového e-mailu jménem CDC:
Následující odkaz samozřejmě nevede na web CDC, ale na falešnou stránku, která krade přihlašovací jméno a heslo oběti:
Zde je příklad phishingového e-mailu údajně jménem Světové zdravotnické organizace:
A v tomto příkladu útočníci počítají s tím, že mnoho lidí se domnívá, že úřady před nimi tají skutečný rozsah infekce, a proto uživatelé rádi a téměř bez váhání klikají na tyto typy dopisů se škodlivými odkazy nebo přílohami, které prý odhalí všechna tajemství.
Mimochodem, taková stránka existuje , který vám umožňuje sledovat různé ukazatele, například úmrtnost, počet kuřáků, počet obyvatel v různých zemích atd. Web má také stránku věnovanou koronaviru. A tak když jsem na to šel 16. března, uviděl jsem stránku, která mě na okamžik přiměla pochybovat, že nám úřady říkají pravdu (nevím, jaký je důvod těchto čísel, možná jen omyl):
Jednou z populárních infrastruktur, kterou útočníci používají k odesílání podobných e-mailů, je Emotet, jedna z nejnebezpečnějších a nejoblíbenějších hrozeb poslední doby. Dokumenty Word připojené k e-mailovým zprávám obsahují stahovací programy Emotet, které načítají nové škodlivé moduly do počítače oběti. Emotet byl původně používán k propagaci odkazů na podvodné stránky prodávající lékařské masky zaměřené na obyvatele Japonska. Níže vidíte výsledek analýzy škodlivého souboru pomocí sandboxingu , který analyzuje soubory z hlediska škodlivosti.
Útočníci však využívají nejen možnost spouštět v MS Word, ale také v jiných aplikacích Microsoftu, například v MS Excel (takto jednala hackerská skupina APT36), rozesílají doporučení pro boj s koronavirem od indické vlády obsahující Crimson KRYSA:
Další škodlivou kampaní využívající téma koronaviru je Nanocore RAT, která vám umožňuje instalovat programy do počítačů obětí pro vzdálený přístup, zachycování tahů klávesnice, pořizování snímků obrazovky, přístup k souborům atd.
A Nanocore RAT je obvykle doručován e-mailem. Níže například vidíte příklad e-mailové zprávy s připojeným archivem ZIP, který obsahuje spustitelný soubor PIF. Kliknutím na spustitelný soubor si oběť nainstaluje do svého počítače program pro vzdálený přístup (Remote Access Tool, RAT).
Zde je další příklad kampaně parazitující na téma COVID-19. Uživatel obdrží dopis o předpokládaném zpoždění dodávky kvůli koronaviru s přiloženou fakturou s příponou .pdf.ace. Uvnitř komprimovaného archivu je spustitelný obsah, který naváže spojení s příkazovým a řídicím serverem za účelem přijímání dalších příkazů a provádění dalších cílů útočníka.
Parallax RAT má podobnou funkci, která distribuuje soubor s názvem „new infikovaný CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif“ a který instaluje škodlivý program, který komunikuje s jeho příkazovým serverem prostřednictvím protokolu DNS. Nástroje ochrany třídy EDR, jejichž příkladem je a buď NGFW pomůže monitorovat komunikaci s příkazovými servery (např. ), nebo nástroje pro monitorování DNS (např. ).
V níže uvedeném příkladu byl malware pro vzdálený přístup nainstalován na počítači oběti, která z neznámého důvodu koupila reklamu, že běžný antivirový program nainstalovaný v počítači může chránit před skutečným COVID-19. A na takový zdánlivý žertík přece jen někdo propadl.
Ale mezi malwarem jsou také některé opravdu zvláštní věci. Například soubory vtipů, které emulují práci ransomwaru. V jednom případě naše divize Cisco Talos soubor s názvem CoronaVirus.exe, který během spouštění zablokoval obrazovku a spustil časovač a zprávu „mazání všech souborů a složek v tomto počítači – koronavirus“.
Po dokončení odpočítávání se tlačítko ve spodní části aktivovalo a po jeho stisknutí se zobrazila následující zpráva, že jde o vtip a že byste měli program ukončit stisknutím Alt+F12.
Boj proti škodlivým mailingům lze automatizovat například pomocí , který umožňuje odhalit nejen škodlivý obsah v přílohách, ale také sledovat phishingové odkazy a kliknutí na ně. Ani v tomto případě byste ale neměli zapomínat na školení uživatelů a pravidelné provádění phishingových simulací a kybernetických cvičení, které uživatele připraví na různé triky útočníků namířené proti vašim uživatelům. Zejména pokud pracují na dálku a prostřednictvím svého osobního e-mailu, může škodlivý kód proniknout do podnikové sítě nebo sítě oddělení. Zde bych mohl doporučit nové řešení , který umožňuje nejen provádět mikro- a nanoškolení personálu v otázkách bezpečnosti informací, ale také pro něj organizovat simulace phishingu.
Ale pokud z nějakého důvodu nejste připraveni taková řešení používat, pak stojí za to alespoň organizovat pravidelné e-maily svým zaměstnancům s připomenutím nebezpečí phishingu, jeho příklady a seznamem pravidel pro bezpečné chování (hlavní je, že útočníci se za ně nepřestrojují). Mimochodem, jedním z možných rizik v současnosti jsou phishingové korespondence vydávající se za dopisy od vašeho managementu, které údajně hovoří o nových pravidlech a postupech pro práci na dálku, povinném softwaru, který je nutné instalovat na vzdálené počítače atd. A nezapomeňte, že kromě e-mailu mohou kyberzločinci používat instant messenger a sociální sítě.
Do tohoto druhu mailingu nebo programu na zvyšování povědomí můžete také zahrnout již klasický příklad falešné mapy infekce koronavirem, která byla podobná té Univerzita Johnse Hopkinse. Rozdíl spočívalo v tom, že při přístupu na phishingovou stránku byl do počítače uživatele nainstalován malware, který ukradl informace o uživatelském účtu a poslal je kyberzločincům. Jedna verze takového programu také vytvořila připojení RDP pro vzdálený přístup k počítači oběti.
Mimochodem, o RDP. Toto je další útočný vektor, který útočníci začínají aktivněji využívat během pandemie koronaviru. Mnoho společností při přechodu na vzdálenou práci využívá služeb typu RDP, které při nesprávné konfiguraci z důvodu spěchu mohou vést k infiltraci útočníků jak do počítačů vzdálených uživatelů, tak i dovnitř podnikové infrastruktury. Navíc i při správné konfiguraci mohou mít různé implementace RDP zranitelnosti, které mohou útočníci zneužít. Například Cisco Talos více zranitelností ve FreeRDP a v květnu loňského roku byla objevena kritická zranitelnost CVE-2019-0708 ve službě Microsoft Remote Desktop, která umožňovala spuštění libovolného kódu na počítači oběti, zavedení malwaru atd. Byl o ní dokonce distribuován newsletter , a například Cisco Talos doporučení na ochranu před ním.
Existuje další příklad zneužití tématu koronaviru – skutečná hrozba infekce rodiny oběti, pokud odmítnou zaplatit výkupné v bitcoinech. Pro posílení účinku, pro dodání významu dopisu a vytvoření pocitu všemohoucnosti vyděrače bylo do textu dopisu vloženo heslo oběti z jednoho z jeho účtů, získané z veřejných databází přihlašovacích údajů a hesel.
V jednom z výše uvedených příkladů jsem ukázal phishingovou zprávu od Světové zdravotnické organizace. A zde je další příklad, kdy jsou uživatelé požádáni o finanční pomoc v boji proti COVID-19 (ačkoli v záhlaví v těle dopisu je slovo „DAROVÁNÍ“ okamžitě patrné). A žádají o pomoc v bitcoinech na ochranu proti sledování kryptoměn.
A dnes existuje mnoho takových příkladů využívajících soucit uživatelů:
Bitcoiny souvisí s COVID-19 jiným způsobem. Tak například vypadají korespondence, které dostává mnoho britských občanů, kteří sedí doma a nemohou si vydělat peníze (v Rusku to nyní bude také aktuální).
Tyto korespondence, které se vydávají za známé noviny a zpravodajské weby, nabízejí snadné peníze těžbou kryptoměn na speciálních stránkách. Ve skutečnosti vám po nějaké době přijde zpráva, že vydělanou částku lze vybrat na speciální účet, ale předtím je potřeba převést malou částku daní. Je jasné, že po obdržení těchto peněz podvodníci na oplátku nic nepřevádějí a důvěřivý uživatel o převedené peníze přijde.
Se Světovou zdravotnickou organizací je spojena ještě jedna hrozba. Hackeři hackli nastavení DNS routerů D-Link a Linksys, které často používají domácí uživatelé a malé podniky, aby je přesměrovali na falešnou webovou stránku s vyskakovacím varováním o nutnosti nainstalovat aplikaci WHO, která je zachová. aktuální s nejnovějšími zprávami o koronaviru. Samotná aplikace navíc obsahovala škodlivý program Oski, který krade informace.
Podobný nápad s aplikací obsahující aktuální stav infekce COVID-19 využívá Android Trojan CovidLock, který je distribuován prostřednictvím aplikace, která je údajně „certifikována“ ministerstvem školství USA, WHO a Centrem pro kontrolu epidemií ( CDC).
Mnoho uživatelů je dnes v izolaci a bez ochoty nebo neschopnosti vařit aktivně využívá rozvozové služby pro jídlo, potraviny nebo jiné zboží, jako je toaletní papír. Útočníci také zvládli tento vektor pro své vlastní účely. Takto například vypadá škodlivý web, podobně jako legitimní zdroj vlastněný společností Canada Post. Odkaz z SMS přijaté obětí vede na webovou stránku, která hlásí, že objednaný produkt nelze doručit, protože chybí pouze 3 dolary, které je nutné doplatit. V tomto případě je uživatel přesměrován na stránku, kde musí uvést údaje o své kreditní kartě... se všemi z toho vyplývajícími důsledky.
Na závěr bych rád uvedl ještě dva příklady kybernetických hrozeb souvisejících s COVID-19. Například pluginy „COVID-19 Coronavirus – Live Map WordPress Plugin“, „Coronavirus Spread Prediction Graphs“ nebo „Covid-19“ jsou zabudovány do stránek využívajících populární engine WordPress a spolu se zobrazením mapy šíření viru koronavirus, obsahují také malware WP-VCD. A společnost Zoom, která se v důsledku nárůstu počtu online akcí stala velmi, velmi populární, čelila tomu, co odborníci nazývali „Zoombombing“. Útočníci, ale ve skutečnosti obyčejní porno trollové, se připojovali k online chatům a online setkáním a ukazovali různá obscénní videa. Mimochodem, s podobnou hrozbou se dnes setkávají ruské firmy.
Myslím, že většina z nás pravidelně kontroluje různé zdroje, oficiální i ne tak oficiální, o aktuálním stavu pandemie. Útočníci toto téma využívají a nabízejí nám „nejnovější“ informace o koronaviru, včetně informací, „které před vámi úřady tají“. Ale i běžní běžní uživatelé v poslední době často pomáhají útočníkům tím, že zasílají kódy ověřených faktů od „známých“ a „přátel“. Psychologové tvrdí, že taková aktivita „alarmistických“ uživatelů, kteří vysílají vše, co se jim dostane do zorného pole (zejména na sociálních sítích a instant messengerech, které nemají ochranné mechanismy proti takovým hrozbám), jim umožňuje cítit se zapojeni do boje proti globální hrozbou a dokonce se cítí jako hrdinové zachraňující svět před koronavirem. Nedostatek speciálních znalostí však bohužel vede k tomu, že tyto dobré úmysly „vedou každého do pekla“, vytvářejí nové hrozby pro kybernetickou bezpečnost a rozšiřují počet obětí.
Ve skutečnosti bych mohl pokračovat s příklady kybernetických hrozeb souvisejících s koronavirem; Kyberzločinci navíc nestojí na místě a vymýšlejí stále nové a nové způsoby, jak využít lidské vášně. Ale myslím, že se tam můžeme zastavit. Obrázek je již jasný a říká nám, že v blízké budoucnosti se situace bude jen zhoršovat. Moskevské úřady včera uvedly město s deseti miliony obyvatel do sebeizolace. Úřady moskevské oblasti a mnoha dalších oblastí Ruska, stejně jako naši nejbližší sousedé v bývalém postsovětském prostoru, učinili totéž. To znamená, že počet potenciálních obětí, na které se kyberzločinci zaměřují, mnohonásobně vzroste. Vyplatí se proto nejen přehodnotit svou bezpečnostní strategii, která byla donedávna zaměřena pouze na ochranu podnikové či resortní sítě, a posoudit, jaké ochranné nástroje vám chybí, ale také vzít v úvahu příklady uvedené ve vašem programu pro zvyšování povědomí zaměstnanců, který je stává důležitou součástí systému informační bezpečnosti pro vzdálené pracovníky. A připraveni vám s tím pomoci!
PS. Při přípravě tohoto materiálu byly použity materiály od společností Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security a RiskIQ, Ministerstva spravedlnosti USA, zdroje Bleeping Computer, SecurityAffairs atd. P.
Zdroj: www.habr.com