Emnet om coronavirus i dag har fyldt alle nyhedsfeeds og er også blevet hovedledemotivet for forskellige aktiviteter af angribere, der udnytter emnet COVID-19 og alt, der er forbundet med det. I dette notat vil jeg gerne henlede opmærksomheden på nogle eksempler på sådan ondsindet aktivitet, som selvfølgelig ikke er en hemmelighed for mange informationssikkerhedsspecialister, men hvis resumé i en note vil gøre det lettere at forberede din egen bevidsthed - at rejse arrangementer for medarbejdere, hvoraf nogle arbejder eksternt og andre er mere modtagelige for forskellige informationssikkerhedstrusler end tidligere.
Et minuts pleje fra en UFO
Verden har officielt erklæret en pandemi af COVID-19, en potentielt alvorlig akut luftvejsinfektion forårsaget af SARS-CoV-2 coronavirus (2019-nCoV). Der er meget information om Habré om dette emne - husk altid, at det kan være både pålideligt/nyttigt og omvendt.
Vi opfordrer dig til at være kritisk over for enhver offentliggjort information.
Officielle kilder
- Hjemmesider og officielle grupper af operationelle hovedkvarterer i regionerne
Hvis du ikke bor i Rusland, bedes du henvise til lignende websteder i dit land.
Vask hænder, pas på dine kære, bliv hjemme, hvis det er muligt, og arbejd på afstand.Læs publikationer om: |
Det skal bemærkes, at der ikke er nogen helt nye trusler forbundet med coronavirus i dag. Vi taler snarere om angrebsvektorer, der allerede er blevet traditionelle, blot brugt i en ny "sauce". Så jeg vil kalde de vigtigste typer trusler:
- phishing-websteder og nyhedsbreve relateret til coronavirus og relateret ondsindet kode
- Svig og desinformation, der har til formål at udnytte frygt eller ufuldstændige oplysninger om COVID-19
- angreb mod organisationer involveret i coronavirus-forskning
I Rusland, hvor borgerne traditionelt ikke har tillid til myndighederne og tror, at de skjuler sandheden for dem, er sandsynligheden for succesfuldt at "promovere" phishing-websteder og mailinglister, såvel som bedrageriske ressourcer, meget højere end i lande med mere åbne myndigheder. Selvom ingen i dag kan betragte sig som absolut beskyttet mod kreative cybersvindlere, der bruger alle de klassiske menneskelige svagheder hos en person - frygt, medfølelse, grådighed osv.
Tag for eksempel et bedragerisk websted, der sælger medicinske masker.
Et lignende websted, CoronavirusMedicalkit[.]com, blev lukket af amerikanske myndigheder for at distribuere en ikke-eksisterende COVID-19-vaccine gratis med "kun" porto for at sende medicinen. I dette tilfælde, med en så lav pris, var beregningen for den hastende efterspørgsel efter medicinen under paniktilstande i USA.
Dette er ikke en klassisk cybertrussel, da angribernes opgave i dette tilfælde ikke er at inficere brugere eller stjæle deres personlige data eller identifikationsoplysninger, men blot på frygtens bølge for at tvinge dem til at skille sig ud og købe medicinske masker til høje priser med 5-10-30 gange over de faktiske omkostninger. Men selve ideen om at skabe et falsk websted, der udnytter coronavirus-temaet, bliver også brugt af cyberkriminelle. For eksempel er her et websted, hvis navn indeholder søgeordet "covid19", men som også er et phishing-sted.
Generelt daglig overvågning af vores hændelsesundersøgelsestjeneste , ser du hvor mange domæner der bliver oprettet, hvis navne indeholder ordene covid, covid19, coronavirus osv. Og mange af dem er ondsindede.
I et miljø, hvor nogle af virksomhedens medarbejdere flyttes til arbejde hjemmefra, og de ikke er beskyttet af virksomhedens sikkerhedsforanstaltninger, er det vigtigere end nogensinde før at overvåge de ressourcer, der tilgås fra medarbejdernes mobile og desktop-enheder, bevidst eller uden deres viden. Hvis du ikke bruger tjenesten at opdage og blokere sådanne domæner (og Cisco forbindelse til denne service er nu gratis), så konfigurer som minimum dine overvågningsløsninger for webadgang til at overvåge domæner med relevante søgeord. Husk samtidig, at den traditionelle tilgang til blacklisting af domæner, såvel som at bruge omdømmedatabaser, kan fejle, da ondsindede domæner oprettes meget hurtigt og kun bruges i 1-2 angreb i ikke længere end et par timer - så angribere skifter til nye flygtige domæner. Informationssikkerhedsvirksomheder har simpelthen ikke tid til hurtigt at opdatere deres vidensbaser og distribuere dem til alle deres kunder.
Angribere fortsætter aktivt med at udnytte e-mail-kanalen til at distribuere phishing-links og malware i vedhæftede filer. Og deres effektivitet er ret høj, da brugere, mens de modtager fuldstændig lovlige nyhedsmails om coronavirus, ikke altid kan genkende noget ondsindet i deres volumen. Og mens antallet af smittede kun vokser, vil rækken af sådanne trusler også kun vokse.
Sådan ser et eksempel på en phishing-e-mail på vegne af CDC ud:
At følge linket fører selvfølgelig ikke til CDC's hjemmeside, men til en falsk side, der stjæler ofrets login og adgangskode:
Her er et eksempel på en phishing-e-mail, der angiveligt er på vegne af Verdenssundhedsorganisationen:
Og i dette eksempel regner angriberne med, at mange mennesker tror, at myndighederne skjuler infektionens sande omfang for dem, og derfor klikker brugere gladeligt og næsten uden tøven på disse typer breve med ondsindede links eller vedhæftede filer, der angiveligt vil afsløre alle hemmelighederne.
Forresten, der er sådan en side , som giver dig mulighed for at spore forskellige indikatorer, for eksempel dødelighed, antallet af rygere, befolkning i forskellige lande osv. Hjemmesiden har også en side dedikeret til coronavirus. Og så da jeg gik til det den 16. marts, så jeg en side, der et øjeblik fik mig til at tvivle på, at myndighederne fortalte os sandheden (jeg ved ikke, hvad årsagen til disse tal er, måske bare en fejl):
En af de populære infrastrukturer, som angribere bruger til at sende lignende e-mails, er Emotet, en af de farligste og mest populære trusler i nyere tid. Word-dokumenter, der er knyttet til e-mail-beskeder, indeholder Emotet-downloadere, som indlæser nye ondsindede moduler på ofrets computer. Emotet blev oprindeligt brugt til at promovere links til svigagtige websteder, der sælger medicinske masker, rettet mod indbyggere i Japan. Nedenfor ser du resultatet af at analysere en ondsindet fil ved hjælp af sandboxing , som analyserer filer for ondsindethed.
Men angribere udnytter ikke kun evnen til at starte i MS Word, men også i andre Microsoft-applikationer, for eksempel i MS Excel (sådan optrådte APT36-hackergruppen), og udsendte anbefalinger om bekæmpelse af coronavirus fra Indiens regering indeholdende Crimson ROTTE:
En anden ondsindet kampagne, der udnytter coronavirus-temaet, er Nanocore RAT, som giver dig mulighed for at installere programmer på ofrets computere til fjernadgang, opsnappe tastaturtryk, tage skærmbilleder, få adgang til filer osv.
Og Nanocore RAT leveres normalt via e-mail. Nedenfor ser du for eksempel et eksempel på en e-mail-meddelelse med et vedhæftet ZIP-arkiv, der indeholder en eksekverbar PIF-fil. Ved at klikke på den eksekverbare fil installerer offeret et fjernadgangsprogram (Remote Access Tool, RAT) på sin computer.
Her er endnu et eksempel på en parasitisk kampagne om emnet COVID-19. Brugeren modtager et brev om en formodet leveringsforsinkelse på grund af coronavirus med en vedhæftet faktura med udvidelsen .pdf.ace. Inde i det komprimerede arkiv er eksekverbart indhold, der etablerer en forbindelse til kommando- og kontrolserveren for at modtage yderligere kommandoer og udføre andre angribermål.
Parallax RAT har lignende funktionalitet, som distribuerer en fil med navnet "ny inficeret CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif", og som installerer et ondsindet program, der interagerer med sin kommandoserver via DNS-protokollen. EDR klasse beskyttelsesværktøjer, som et eksempel er , og enten NGFW vil hjælpe med at overvåge kommunikation med kommandoservere (f.eks. ), eller DNS-overvågningsværktøjer (f.eks. ).
I eksemplet nedenfor blev fjernadgangs-malware installeret på computeren til et offer, som af en eller anden ukendt årsag købte ind i reklamer, som et almindeligt antivirusprogram installeret på en pc kunne beskytte mod ægte COVID-19. Og trods alt faldt nogen for sådan en tilsyneladende joke.
Men blandt malware er der også nogle virkelig mærkelige ting. For eksempel vittighedsfiler, der emulerer arbejdet med ransomware. I ét tilfælde vores Cisco Talos-afdeling en fil ved navn CoronaVirus.exe, som blokerede skærmen under udførelse og startede en timer og beskeden "sletter alle filer og mapper på denne computer - coronavirus."
Efter endt nedtælling blev knappen i bunden aktiv, og når den blev trykket, blev følgende besked vist, der sagde, at det hele var en joke, og at du skulle trykke på Alt+F12 for at afslutte programmet.
Kampen mod ondsindede forsendelser kan automatiseres, f.eks , som giver dig mulighed for at opdage ikke kun ondsindet indhold i vedhæftede filer, men også spore phishing-links og klik på dem. Men selv i dette tilfælde bør du ikke glemme at træne brugere og regelmæssigt udføre phishing-simuleringer og cyberøvelser, som vil forberede brugerne på forskellige tricks af angribere rettet mod dine brugere. Især hvis de arbejder eksternt og via deres personlige e-mail, kan ondsindet kode trænge ind i virksomhedens eller afdelingens netværk. Her kunne jeg anbefale en ny løsning , som gør det muligt ikke kun at gennemføre mikro- og nano-uddannelse af personale i informationssikkerhedsspørgsmål, men også at organisere phishing-simuleringer for dem.
Men hvis du af en eller anden grund ikke er klar til at bruge sådanne løsninger, så er det i det mindste værd at organisere regelmæssige mails til dine medarbejdere med en påmindelse om phishing-faren, dens eksempler og en liste over regler for sikker adfærd (det vigtigste er, at angribere forklæder sig ikke som dem). En af de mulige risici på nuværende tidspunkt er i øvrigt phishing-mails, der forklæder sig som breve fra din ledelse, som angiveligt taler om nye regler og procedurer for fjernarbejde, obligatorisk software, der skal installeres på fjerncomputere osv. Og glem ikke, at ud over e-mail kan cyberkriminelle bruge instant messengers og sociale netværk.
I denne form for mailing eller bevidstgørelsesprogram kan du også inkludere det allerede klassiske eksempel på et falsk coronavirus-infektionskort, som lignede det ene Johns Hopkins University. Forskel var, at der ved adgang til et phishing-sted blev installeret malware på brugerens computer, som stjal brugerkontooplysninger og sendte dem til cyberkriminelle. En version af et sådant program skabte også RDP-forbindelser til fjernadgang til ofrets computer.
I øvrigt om RDP. Dette er endnu en angrebsvektor, som angribere begynder at bruge mere aktivt under coronavirus-pandemien. Mange virksomheder, når de skifter til fjernarbejde, bruger tjenester som RDP, som, hvis de er konfigureret forkert på grund af hastværk, kan føre til, at angribere infiltrerer både fjernbrugercomputere og inde i virksomhedens infrastruktur. Desuden, selv med korrekt konfiguration, kan forskellige RDP-implementeringer have sårbarheder, der kan udnyttes af angribere. For eksempel Cisco Talos flere sårbarheder i FreeRDP, og i maj sidste år blev en kritisk sårbarhed CVE-2019-0708 opdaget i Microsoft Remote Desktop-tjenesten, som gjorde det muligt at udføre vilkårlig kode på offerets computer, introducere malware osv. Et nyhedsbrev om hende blev endda uddelt , og for eksempel Cisco Talos anbefalinger til beskyttelse mod det.
Der er et andet eksempel på udnyttelsen af coronavirus-temaet - den reelle trussel om infektion af ofrets familie, hvis de nægter at betale løsesummen i bitcoins. For at forstærke effekten, give brevet betydning og skabe en følelse af almagt hos afpresseren, blev offerets adgangskode fra en af hans konti, hentet fra offentlige databaser med logins og adgangskoder, indsat i brevets tekst.
I et af eksemplerne ovenfor viste jeg en phishing-besked fra Verdenssundhedsorganisationen. Og her er endnu et eksempel, hvor brugere bliver bedt om økonomisk hjælp til at bekæmpe COVID-19 (selvom i overskriften i selve brevet er ordet "DONATION" umiddelbart mærkbart). Og de beder om hjælp i bitcoins til at beskytte sig mod cryptocurrency sporing.
Og i dag er der mange sådanne eksempler, der udnytter brugernes medfølelse:
Bitcoins er relateret til COVID-19 på en anden måde. Sådan ser for eksempel forsendelserne ud fra mange britiske borgere, der sidder hjemme og ikke kan tjene penge (i Rusland bliver det nu også aktuelt).
Disse forsendelser, der maskerer sig som velkendte aviser og nyhedssider, tilbyder nemme penge ved at udvinde kryptovalutaer på særlige websteder. Faktisk modtager du efter noget tid en besked om, at det beløb, du har tjent, kan hæves til en særlig konto, men du skal overføre et mindre beløb i skat inden det. Det er klart, at efter at have modtaget disse penge, overfører svindlerne ikke noget til gengæld, og den godtroende bruger mister de overførte penge.
Der er en anden trussel forbundet med Verdenssundhedsorganisationen. Hackere hackede DNS-indstillingerne på D-Link- og Linksys-routere, der ofte bruges af hjemmebrugere og små virksomheder, for at omdirigere dem til et falsk websted med en pop-up-advarsel om behovet for at installere WHO-appen, som vil beholde dem ajour med de seneste nyheder om coronavirus. Desuden indeholdt selve applikationen det ondsindede program Oski, som stjæler information.
En lignende idé med en applikation, der indeholder den aktuelle status for COVID-19-infektion, udnyttes af Android Trojan CovidLock, som distribueres gennem en applikation, der angiveligt er "certificeret" af det amerikanske undervisningsministerium, WHO og Center for Epidemic Control ( CDC).
Mange brugere er i dag i selvisolation og, uvillige eller ude af stand til at lave mad, bruger de aktivt leveringstjenester til mad, dagligvarer eller andre varer, såsom toiletpapir. Angribere har også mestret denne vektor til deres egne formål. For eksempel er det sådan et ondsindet websted ser ud, svarende til en legitim ressource ejet af Canada Post. Linket fra den sms, som offeret har modtaget, fører til en hjemmeside, der rapporterer, at det bestilte produkt ikke kan leveres, fordi der kun mangler 3 $, som skal betales ekstra. I dette tilfælde ledes brugeren til en side, hvor han skal angive detaljerne på sit kreditkort... med alle de deraf følgende konsekvenser.
Afslutningsvis vil jeg gerne give yderligere to eksempler på cybertrusler relateret til COVID-19. For eksempel er plugins "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" eller "Covid-19" indbygget i websteder, der bruger den populære WordPress-motor og viser sammen med et kort over spredningen af coronavirus, indeholder også WP-VCD malware. Og firmaet Zoom, som i kølvandet på væksten i antallet af onlinebegivenheder blev meget, meget populært, blev konfronteret med det, eksperter kaldte "Zoombombing." Angriberne, men faktisk almindelige pornotrolde, koblede sig til online chats og online møder og viste forskellige obskøne videoer. Forresten støder russiske virksomheder på en lignende trussel i dag.
Jeg tror, at de fleste af os regelmæssigt tjekker forskellige ressourcer, både officielle og ikke så officielle, om pandemiens aktuelle status. Angribere udnytter dette emne og tilbyder os de "seneste" oplysninger om coronavirus, herunder oplysninger "som myndighederne skjuler for dig." Men selv almindelige almindelige brugere har for nylig ofte hjulpet angribere ved at sende koder med verificerede fakta fra "bekendte" og "venner." Psykologer siger, at en sådan aktivitet af "alarmistiske" brugere, der sender alt, hvad der kommer ind i deres synsfelt (især i sociale netværk og instant messengers, som ikke har beskyttelsesmekanismer mod sådanne trusler), giver dem mulighed for at føle sig involveret i kampen mod en global trussel og føler sig endda som helte, der redder verden fra coronavirus. Men desværre fører manglen på særlig viden til, at disse gode intentioner "fører alle til helvede", skaber nye cybersikkerhedstrusler og udvider antallet af ofre.
Faktisk kunne jeg fortsætte med eksempler på cybertrusler relateret til coronavirus; Desuden står cyberkriminelle ikke stille og kommer med flere og flere nye måder at udnytte menneskelige lidenskaber på. Men jeg tror, vi kan stoppe der. Billedet er allerede klart, og det fortæller os, at situationen i den nærmeste fremtid kun vil blive værre. I går placerede Moskvas myndigheder byen med ti millioner mennesker under selvisolation. Myndighederne i Moskva-regionen og mange andre regioner i Rusland, såvel som vores nærmeste naboer i det tidligere postsovjetiske rum, gjorde det samme. Det betyder, at antallet af potentielle ofre målrettet af cyberkriminelle vil stige mange gange. Derfor er det værd ikke kun at genoverveje din sikkerhedsstrategi, som indtil for nylig var fokuseret på kun at beskytte et virksomheds- eller afdelingsnetværk, og vurdere hvilke beskyttelsesværktøjer du mangler, men også at tage højde for eksemplerne givet i dit personalebevidsthedsprogram, som er bliver en vigtig del af informationssikkerhedssystemet for fjernarbejdere. EN klar til at hjælpe dig med dette!
PS. Ved udarbejdelsen af dette materiale blev der brugt materialer fra Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security og RiskIQ-virksomheder, US Department of Justice, Bleeping Computer-ressourcer, SecurityAffairs osv. P.
Kilde: www.habr.com