Das Thema Coronavirus füllt heute alle Newsfeeds und ist auch zum Hauptleitmotiv für verschiedene Aktivitäten von Angreifern geworden, die das Thema COVID-19 und alles, was damit zusammenhängt, ausnutzen. In dieser Notiz möchte ich auf einige Beispiele solcher böswilligen Aktivitäten aufmerksam machen, die für viele Spezialisten für Informationssicherheit natürlich kein Geheimnis sind, deren Zusammenfassung in einer Notiz jedoch die Vorbereitung des eigenen Bewusstseins erleichtert -Ereignisse für Mitarbeiter, von denen einige remote arbeiten und andere anfälliger für verschiedene Bedrohungen der Informationssicherheit sind als zuvor.
Eine Minute der Fürsorge von einem UFO
Die Welt hat offiziell eine Pandemie von COVID-19 ausgerufen, einer potenziell schweren akuten Atemwegsinfektion, die durch das Coronavirus SARS-CoV-2 (2019-nCoV) verursacht wird. Zu diesem Thema gibt es auf Habré viele Informationen – denken Sie immer daran, dass sie sowohl zuverlässig/nützlich sein können als auch umgekehrt.
Wir empfehlen Ihnen, jegliche veröffentlichten Informationen kritisch zu betrachten.
ициальные источники
- Websites und offizielle Gruppen operativer Hauptquartiere in den Regionen
Wenn Sie nicht in Russland leben, informieren Sie sich bitte über ähnliche Websites in Ihrem Land.
Waschen Sie Ihre Hände, kümmern Sie sich um Ihre Lieben, bleiben Sie nach Möglichkeit zu Hause und arbeiten Sie aus der Ferne.Lesen Sie Veröffentlichungen zu: |
Es ist zu beachten, dass es heute keine völlig neuen Bedrohungen im Zusammenhang mit dem Coronavirus gibt. Es handelt sich vielmehr um bereits traditionelle Angriffsvektoren, die einfach in einer neuen „Soße“ eingesetzt werden. Daher würde ich die wichtigsten Arten von Bedrohungen nennen:
- Phishing-Websites und Newsletter im Zusammenhang mit Coronavirus und damit verbundenem Schadcode
- Betrug und Desinformation, die darauf abzielen, Angst oder unvollständige Informationen über COVID-19 auszunutzen
- Angriffe gegen Organisationen, die an der Coronavirus-Forschung beteiligt sind
In Russland, wo die Bürger den Behörden traditionell nicht vertrauen und glauben, dass sie ihnen die Wahrheit verheimlichen, ist die Wahrscheinlichkeit, erfolgreich Phishing-Sites und Mailinglisten sowie betrügerische Ressourcen zu „bewerben“, viel höher als in Ländern mit mehr Offenheit Behörden. Obwohl sich heute niemand mehr absolut vor kreativen Cyber-Betrügern schützen kann, die alle klassischen menschlichen Schwächen eines Menschen ausnutzen – Angst, Mitgefühl, Gier usw.
Nehmen Sie zum Beispiel eine betrügerische Website, auf der medizinische Masken verkauft werden.
Eine ähnliche Website, CoronavirusMedicalkit[.]com, wurde von den US-Behörden geschlossen, weil sie einen nicht existierenden COVID-19-Impfstoff kostenlos verteilte und „nur“ Porto für den Versand des Arzneimittels bezahlte. In diesem Fall wurde bei einem so niedrigen Preis die hohe Nachfrage nach dem Medikament angesichts der Panik in den Vereinigten Staaten berücksichtigt.
Hierbei handelt es sich nicht um eine klassische Cyber-Bedrohung, da die Aufgabe der Angreifer in diesem Fall nicht darin besteht, Benutzer zu infizieren oder ihre persönlichen Daten oder Identifikationsinformationen zu stehlen, sondern sie einfach aus Angst dazu zu zwingen, medizinische Masken zu überhöhten Preisen zu kaufen um das 5-, 10- bis 30-fache der tatsächlichen Kosten. Aber auch die Idee, eine gefälschte Website zu erstellen, die das Thema Coronavirus ausnutzt, wird von Cyberkriminellen genutzt. Hier ist zum Beispiel eine Seite, deren Name das Schlüsselwort „covid19“ enthält, bei der es sich aber auch um eine Phishing-Seite handelt.
Im Allgemeinen überwachen wir täglich unseren Dienst zur Untersuchung von Vorfällen sehen Sie, wie viele Domains erstellt werden, deren Namen die Wörter covid, covid19, Coronavirus usw. enthalten. Und viele von ihnen sind böswillig.
In einer Umgebung, in der einige Mitarbeiter des Unternehmens von zu Hause aus arbeiten und nicht durch Unternehmenssicherheitsmaßnahmen geschützt sind, ist es wichtiger denn je, die Ressourcen zu überwachen, auf die wissentlich oder unbewusst über die mobilen und Desktop-Geräte der Mitarbeiter zugegriffen wird Wissen. Wenn Sie den Dienst nicht nutzen solche Domänen zu erkennen und zu blockieren (und Cisco Die Verbindung zu diesem Dienst ist jetzt kostenlos), dann konfigurieren Sie zumindest Ihre Webzugriffsüberwachungslösungen, um Domänen mit relevanten Schlüsselwörtern zu überwachen. Bedenken Sie jedoch, dass der herkömmliche Ansatz, Domänen auf die schwarze Liste zu setzen, sowie die Verwendung von Reputationsdatenbanken scheitern können, da bösartige Domänen sehr schnell erstellt werden und bei nur 1-2 Angriffen nicht länger als ein paar Stunden verwendet werden – dann Angreifer wechseln zu neuen, kurzlebigen Domänen. Informationssicherheitsunternehmen haben einfach keine Zeit, ihre Wissensdatenbanken schnell zu aktualisieren und an alle ihre Kunden zu verteilen.
Angreifer nutzen den E-Mail-Kanal weiterhin aktiv aus, um Phishing-Links und Malware in Anhängen zu verbreiten. Und ihre Wirksamkeit ist recht hoch, da Benutzer zwar völlig legale Nachrichten-Mailings zum Coronavirus erhalten, in deren Menge jedoch nicht immer etwas Schädliches erkennen kann. Und während die Zahl der Infizierten immer weiter zunimmt, wird auch die Bandbreite solcher Bedrohungen weiter zunehmen.
So sieht beispielsweise eine Phishing-E-Mail im Namen der CDC aus:
Das Folgen des Links führt natürlich nicht zur CDC-Website, sondern zu einer gefälschten Seite, die den Benutzernamen und das Passwort des Opfers stiehlt:
Hier ist ein Beispiel für eine Phishing-E-Mail, die angeblich im Auftrag der Weltgesundheitsorganisation stammt:
Und in diesem Beispiel rechnen die Angreifer damit, dass viele Menschen glauben, dass die Behörden das wahre Ausmaß der Infektion vor ihnen verbergen, und dass Benutzer daher gerne und fast ohne zu zögern auf solche Briefe mit schädlichen Links oder Anhängen klicken soll angeblich alle Geheimnisse enthüllen.
Übrigens gibt es eine solche Seite , mit dem Sie verschiedene Indikatoren verfolgen können, beispielsweise Sterblichkeit, Anzahl der Raucher, Bevölkerung in verschiedenen Ländern usw. Auf der Website gibt es auch eine Seite zum Thema Coronavirus. Und als ich sie am 16. März besuchte, sah ich eine Seite, die mich für einen Moment daran zweifeln ließ, dass die Behörden uns die Wahrheit sagten (ich weiß nicht, was der Grund für diese Zahlen ist, vielleicht ist es nur ein Fehler):
Eine der beliebtesten Infrastrukturen, die Angreifer zum Versenden ähnlicher E-Mails nutzen, ist Emotet, eine der gefährlichsten und beliebtesten Bedrohungen der letzten Zeit. An E-Mail-Nachrichten angehängte Word-Dokumente enthalten Emotet-Downloader, die neue Schadmodule auf den Computer des Opfers laden. Emotet wurde ursprünglich verwendet, um Links zu betrügerischen Websites zu bewerben, auf denen medizinische Masken verkauft wurden, und richtete sich an Einwohner Japans. Unten sehen Sie das Ergebnis der Analyse einer Schaddatei mittels Sandboxing , das Dateien auf Schädlichkeit analysiert.
Aber Angreifer nutzen nicht nur die Möglichkeit, in MS Word zu starten, sondern auch in anderen Microsoft-Anwendungen, beispielsweise in MS Excel (so handelte die Hackergruppe APT36), indem sie Empfehlungen zur Bekämpfung des Coronavirus von der indischen Regierung mit Crimson verschickten RATTE:
Eine weitere bösartige Kampagne, die das Coronavirus-Thema ausnutzt, ist Nanocore RAT, mit der Sie Programme auf den Computern der Opfer installieren können, um aus der Ferne darauf zuzugreifen, Tastatureingaben abzufangen, Bildschirmbilder zu erfassen, auf Dateien zuzugreifen usw.
Und Nanocore RAT wird normalerweise per E-Mail zugestellt. Unten sehen Sie beispielsweise eine Beispiel-E-Mail-Nachricht mit einem angehängten ZIP-Archiv, das eine ausführbare PIF-Datei enthält. Durch Klicken auf die ausführbare Datei installiert das Opfer ein Fernzugriffsprogramm (Remote Access Tool, RAT) auf seinem Computer.
Hier ist ein weiteres Beispiel einer parasitären Kampagne zum Thema COVID-19. Der Nutzer erhält einen Brief über eine angebliche Lieferverzögerung aufgrund des Coronavirus mit angehängter Rechnung mit der Endung .pdf.ace. Im komprimierten Archiv befinden sich ausführbare Inhalte, die eine Verbindung zum Befehls- und Kontrollserver herstellen, um zusätzliche Befehle zu empfangen und andere Ziele des Angreifers auszuführen.
Parallax RAT verfügt über eine ähnliche Funktionalität, die eine Datei mit dem Namen „neu infizierter CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif“ verteilt und ein Schadprogramm installiert, das über das DNS-Protokoll mit seinem Befehlsserver interagiert. EDR-Klassenschutztools, ein Beispiel dafür ist , und entweder NGFW hilft bei der Überwachung der Kommunikation mit Befehlsservern (z. B. ) oder DNS-Überwachungstools (z. B. ).
Im folgenden Beispiel wurde Fernzugriffs-Malware auf dem Computer eines Opfers installiert, das aus unbekannten Gründen Werbung dafür gemacht hatte, dass ein normales, auf einem PC installiertes Antivirenprogramm vor echtem COVID-19 schützen könnte. Und schließlich ist jemand auf solch einen scheinbaren Witz hereingefallen.
Aber unter Malware gibt es auch einige wirklich seltsame Dinge. Zum Beispiel Scherzdateien, die die Arbeit von Ransomware nachahmen. In einem Fall unsere Cisco Talos-Abteilung eine Datei namens CoronaVirus.exe, die während der Ausführung den Bildschirm blockierte und einen Timer und die Meldung „Alle Dateien und Ordner auf diesem Computer werden gelöscht – Coronavirus“ startete.
Nach Abschluss des Countdowns wurde die Schaltfläche unten aktiv und beim Drücken wurde die folgende Meldung angezeigt, die besagte, dass dies alles ein Witz sei und dass Sie Alt+F12 drücken sollten, um das Programm zu beenden.
Der Kampf gegen Schadmailings kann beispielsweise automatisiert werden , mit dem Sie nicht nur schädliche Inhalte in Anhängen erkennen, sondern auch Phishing-Links und Klicks darauf verfolgen können. Aber auch in diesem Fall sollten Sie nicht vergessen, die Benutzer zu schulen und regelmäßig Phishing-Simulationen und Cyber-Übungen durchzuführen, um die Benutzer auf verschiedene Tricks der Angreifer vorzubereiten, die sich gegen Ihre Benutzer richten. Insbesondere wenn sie remote und über ihre persönliche E-Mail arbeiten, kann Schadcode in das Unternehmens- oder Abteilungsnetzwerk eindringen. Hier könnte ich eine neue Lösung empfehlen , was es ermöglicht, nicht nur Mikro- und Nanoschulungen des Personals zu Fragen der Informationssicherheit durchzuführen, sondern auch Phishing-Simulationen für es zu organisieren.
Wenn Sie jedoch aus irgendeinem Grund nicht bereit sind, solche Lösungen zu nutzen, lohnt es sich, zumindest regelmäßige Mailings an Ihre Mitarbeiter zu organisieren, in denen Sie an die Phishing-Gefahr, ihre Beispiele und eine Liste mit Regeln für sicheres Verhalten erinnern (Hauptsache). Angreifer verkleiden sich nicht als sie). Zu den möglichen Risiken zählen derzeit übrigens auch Phishing-Mailings, die als Briefe Ihres Managements getarnt sind und angeblich von neuen Regeln und Verfahren für die Remote-Arbeit, verpflichtender Softwareinstallation auf Remote-Rechnern etc. handeln. Und vergessen Sie nicht, dass Cyberkriminelle neben E-Mails auch Instant Messenger und soziale Netzwerke nutzen können.
In ein solches Mailing oder Sensibilisierungsprogramm können Sie auch das bereits klassische Beispiel einer gefälschten Coronavirus-Infektionskarte einbinden, die dieser ähnelte Johns Hopkins Universität. Unterschied war, dass beim Zugriff auf eine Phishing-Seite Schadsoftware auf dem Computer des Benutzers installiert wurde, die Benutzerkontoinformationen stahl und diese an Cyberkriminelle weiterleitete. Eine Version eines solchen Programms stellte auch RDP-Verbindungen für den Fernzugriff auf den Computer des Opfers her.
Übrigens zu RDP. Dies ist ein weiterer Angriffsvektor, den Angreifer während der Coronavirus-Pandemie zunehmend aktiver nutzen. Viele Unternehmen nutzen bei der Umstellung auf Remote-Arbeit Dienste wie RDP, die bei falscher Konfiguration aus Eile dazu führen können, dass Angreifer sowohl auf Remote-Benutzercomputer als auch in die Unternehmensinfrastruktur eindringen. Darüber hinaus können verschiedene RDP-Implementierungen selbst bei korrekter Konfiguration Schwachstellen aufweisen, die von Angreifern ausgenutzt werden können. Zum Beispiel Cisco Talos mehrere Schwachstellen in FreeRDP, und im Mai letzten Jahres wurde eine kritische Schwachstelle CVE-2019-0708 im Microsoft Remote Desktop-Dienst entdeckt, die es ermöglichte, beliebigen Code auf dem Computer des Opfers auszuführen, Malware einzuschleusen usw. Es wurde sogar ein Newsletter über sie verteilt , und zum Beispiel Cisco Talos Empfehlungen zum Schutz davor.
Es gibt ein weiteres Beispiel für die Ausnutzung des Coronavirus-Themas – die tatsächliche Gefahr einer Ansteckung der Familie des Opfers, wenn diese sich weigert, das Lösegeld in Bitcoins zu zahlen. Um die Wirkung zu verstärken, dem Brief Bedeutung zu verleihen und ein Gefühl der Allmacht des Erpressers zu erzeugen, wurde das Passwort des Opfers von einem seiner Konten, das aus öffentlichen Datenbanken mit Logins und Passwörtern stammt, in den Text des Briefes eingefügt.
In einem der oben genannten Beispiele habe ich eine Phishing-Nachricht der Weltgesundheitsorganisation gezeigt. Und hier ist ein weiteres Beispiel, in dem Benutzer um finanzielle Hilfe zur Bekämpfung von COVID-19 gebeten werden (obwohl in der Kopfzeile des Briefes sofort das Wort „SPENDE“ auffällt). Und sie bitten um Hilfe in Form von Bitcoins zum Schutz davor Kryptowährungsverfolgung.
Und heute gibt es viele solcher Beispiele, die das Mitgefühl der Benutzer ausnutzen:
Bitcoins stehen in einem anderen Zusammenhang mit COVID-19. So sehen zum Beispiel die Mailings aus, die viele britische Bürger erhalten, die zu Hause sitzen und kein Geld verdienen können (in Russland wird dies jetzt auch relevant werden).
Diese Mailings geben sich als bekannte Zeitungen und Nachrichtenseiten aus und bieten durch das Schürfen von Kryptowährungen auf speziellen Seiten leichtes Geld. Tatsächlich erhalten Sie nach einiger Zeit eine Nachricht, dass der verdiente Betrag auf ein Sonderkonto überwiesen werden kann, Sie müssen jedoch vorher einen kleinen Steuerbetrag überweisen. Es ist klar, dass die Betrüger nach Erhalt dieses Geldes keine Gegenleistung erbringen und der leichtgläubige Benutzer das überwiesene Geld verliert.
Mit der Weltgesundheitsorganisation ist noch eine weitere Bedrohung verbunden. Hacker haben die DNS-Einstellungen von D-Link- und Linksys-Routern gehackt, die oft von Heimanwendern und kleinen Unternehmen verwendet werden, um sie auf eine gefälschte Website mit einer Popup-Warnung umzuleiten, die darauf hinweist, dass die WHO-App installiert werden muss, die sie behalten wird Bleiben Sie über die neuesten Nachrichten zum Coronavirus auf dem Laufenden. Darüber hinaus enthielt die Anwendung selbst das Schadprogramm Oski, das Informationen stiehlt.
Eine ähnliche Idee mit einer Anwendung, die den aktuellen Status der COVID-19-Infektion enthält, wird vom Android-Trojaner CovidLock ausgenutzt, der über eine Anwendung verbreitet wird, die angeblich vom US-Bildungsministerium, der WHO und dem Center for Epidemic Control „zertifiziert“ ist ( CDC).
Viele Nutzer befinden sich heute in Selbstisolation und nutzen, da sie nicht kochen wollen oder können, aktiv Lieferdienste für Lebensmittel, Lebensmittel oder andere Waren, wie zum Beispiel Toilettenpapier. Auch diesen Vektor haben sich Angreifer für ihre Zwecke zunutze gemacht. So sieht beispielsweise eine bösartige Website aus, ähnlich einer legitimen Ressource der Canada Post. Der Link aus der SMS, die das Opfer erhalten hat, führt zu einer Website, die meldet, dass das bestellte Produkt nicht geliefert werden kann, da nur 3 US-Dollar fehlen, die extra bezahlt werden müssen. In diesem Fall wird der Benutzer auf eine Seite weitergeleitet, auf der er die Daten seiner Kreditkarte angeben muss ... mit allen sich daraus ergebenden Konsequenzen.
Abschließend möchte ich noch zwei weitere Beispiele für Cyber-Bedrohungen im Zusammenhang mit COVID-19 nennen. Beispielsweise werden die Plugins „COVID-19 Coronavirus – Live Map WordPress Plugin“, „Coronavirus Spread Prediction Graphs“ oder „Covid-19“ mithilfe der beliebten WordPress-Engine in Websites integriert und zeigen zusammen mit der Anzeige einer Karte der Ausbreitung des Virus an Coronavirus, enthalten auch die Schadsoftware WP-VCD. Und das Unternehmen Zoom, das im Zuge der steigenden Zahl an Online-Events sehr, sehr populär wurde, sah sich mit dem konfrontiert, was Experten als „Zoombombing“ bezeichnen. Die Angreifer, in Wirklichkeit gewöhnliche Pornotrolle, schalteten sich in Online-Chats und Online-Meetings ein und zeigten verschiedene obszöne Videos. Einer ähnlichen Bedrohung sind übrigens auch heute russische Unternehmen ausgesetzt.
Ich denke, die meisten von uns informieren sich regelmäßig über den aktuellen Stand der Pandemie auf verschiedenen offiziellen und weniger offiziellen Quellen. Angreifer nutzen dieses Thema aus, indem sie uns die „neuesten“ Informationen über das Coronavirus anbieten, darunter auch Informationen, „die die Behörden vor Ihnen verbergen“. Aber auch ganz normale Benutzer haben Angreifern in letzter Zeit oft geholfen, indem sie Codes mit verifizierten Fakten von „Bekannten“ und „Freunden“ verschickten. Psychologen sagen, dass diese Aktivität „alarmistischer“ Benutzer, die alles verschicken, was in ihr Sichtfeld kommt (insbesondere in sozialen Netzwerken und Instant Messengern, die nicht über Schutzmechanismen gegen solche Bedrohungen verfügen), ihnen das Gefühl gibt, in den Kampf gegen solche Bedrohungen einbezogen zu werden Sie stellen eine globale Bedrohung dar und fühlen sich sogar wie Helden, die die Welt vor dem Coronavirus retten. Aber leider führt der Mangel an Spezialwissen dazu, dass diese guten Absichten „alle in die Hölle führen“, neue Bedrohungen für die Cybersicherheit schaffen und die Zahl der Opfer erhöhen.
Tatsächlich könnte ich mit Beispielen für Cyber-Bedrohungen im Zusammenhang mit dem Coronavirus fortfahren; Darüber hinaus bleiben Cyberkriminelle nicht stehen und erfinden immer neue Wege, um menschliche Leidenschaften auszunutzen. Aber ich denke, wir können hier aufhören. Das Bild ist bereits klar und zeigt uns, dass sich die Situation in naher Zukunft nur noch verschlimmern wird. Gestern haben die Moskauer Behörden die Zehn-Millionen-Einwohner-Stadt in Selbstisolation verhängt. Dasselbe taten die Behörden der Region Moskau und vieler anderer Regionen Russlands sowie unserer nächsten Nachbarn im ehemaligen postsowjetischen Raum. Das bedeutet, dass die Zahl der potenziellen Opfer, die Cyberkriminelle ins Visier nehmen, um ein Vielfaches ansteigen wird. Daher lohnt es sich, nicht nur Ihre Sicherheitsstrategie zu überdenken, die sich bis vor Kurzem nur auf den Schutz eines Unternehmens- oder Abteilungsnetzwerks konzentrierte, und zu beurteilen, welche Schutztools Ihnen fehlen, sondern auch die Beispiele in Ihrem Personalbewusstseinsprogramm zu berücksichtigen wird zu einem wichtigen Bestandteil des Informationssicherheitssystems für Remote-Mitarbeiter. A bereit, Ihnen dabei zu helfen!
PS. Bei der Erstellung dieses Materials wurden Materialien von Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security und RiskIQ, dem US-Justizministerium, Bleeping Computer resources, SecurityAffairs usw. verwendet. P.
Source: habr.com