La temo de koronavirus hodiaŭ plenigis ĉiujn novaĵfluojn, kaj ankaŭ fariĝis la ĉefa ĉefmotivo por diversaj agadoj de atakantoj ekspluatantaj la temon de COVID-19 kaj ĉio ligita al ĝi. En ĉi tiu noto, mi ŝatus atentigi kelkajn ekzemplojn de tia malica agado, kiu kompreneble ne estas sekreto por multaj specialistoj pri informa sekureco, sed kies resumo en unu noto faciligos prepari vian propran konscion. -levigado de eventoj por dungitoj, el kiuj kelkaj laboras malproksime kaj aliaj pli susceptibles al diversaj informaj sekurecaj minacoj ol antaŭe.
Momento de zorgo de NIFO
La mondo oficiale deklaris pandemion de COVID-19, eble severa akuta spira infekto kaŭzita de la SARS-CoV-2 koronavirus (2019-nCoV). Estas multe da informoj pri Habré pri tiu ĉi temo - ĉiam memoru, ke ĝi povas esti kaj fidinda/utila kaj inverse.
Ni instigas vin esti kritika de ajna informo publikigita.
Oficialaj fontoj
- Retejoj kaj oficialaj grupoj de operacia ĉefsidejo en la regionoj
Se vi ne loĝas en Rusio, bonvolu raporti al similaj retejoj en via lando.
Lavu viajn manojn, zorgu pri viaj amatoj, restu hejme se eble kaj laboru malproksime.Legu publikaĵojn pri: |
Oni devas rimarki, ke hodiaŭ ne ekzistas tute novaj minacoj asociitaj kun koronavirusoj. Prefere, ni parolas pri atakvektoroj, kiuj jam fariĝis tradiciaj, simple uzataj en nova "saŭco". Do, mi nomus la ĉefajn specojn de minacoj:
- phishing-ejoj kaj informiloj rilataj al koronavirus kaj rilata malica kodo
- Fraŭdo kaj misinformado celita ekspluati timon aŭ nekompletajn informojn pri COVID-19
- atakoj kontraŭ organizoj implikitaj en esplorado pri koronavirus
En Rusio, kie civitanoj tradicie ne fidas la aŭtoritatojn kaj kredas, ke ili kaŝas la veron de ili, la probableco sukcese "antaŭenigi" phishing-ejojn kaj dissendolistojn, same kiel fraŭdajn rimedojn, estas multe pli alta ol en landoj kun pli malfermaj. aŭtoritatoj. Kvankam hodiaŭ neniu povas konsideri sin absolute protektita kontraŭ kreaj ciberfraŭdantoj, kiuj uzas ĉiujn klasikajn homajn malfortojn de homo - timo, kompato, avideco ktp.
Prenu, ekzemple, fraŭdan retejon vendanta medicinajn maskojn.
Simila retejo, CoronavirusMedicalkit[.]com, estis fermita de usonaj aŭtoritatoj pro disdonado de neekzistanta COVID-19-vakcino senpage kun "nur" afranko por sendi la medikamenton. En ĉi tiu kazo, kun tiel malalta prezo, la kalkulo estis por la rapida postulo de la medikamento en kondiĉoj de paniko en Usono.
Ĉi tio ne estas klasika ciberminaco, ĉar la tasko de atakantoj en ĉi tiu kazo estas ne infekti uzantojn aŭ ŝteli iliajn personajn datumojn aŭ identigan informon, sed simple sur la ondo de timo devigi ilin forkoni kaj aĉeti medicinajn maskojn je ŝvelitaj prezoj. per 5-10-30 fojojn superante la realan koston. Sed la ideo mem krei falsan retejon ekspluatante la koronavirusan temon ankaŭ estas uzata de ciberkrimuloj. Ekzemple, ĉi tie estas retejo, kies nomo enhavas la ŝlosilvorton "covid19", sed kiu ankaŭ estas phishing-ejo.
Ĝenerale, ĉiutage viglado de nia incidenta esplorservo , vi vidas kiom da domajnoj kreiĝas, kies nomoj enhavas la vortojn covid, covid19, koronavirus ktp. Kaj multaj el ili estas malicaj.
En medio kie kelkaj el la dungitoj de la firmao estas translokigitaj al laboro de hejmo kaj ili ne estas protektitaj per kompaniaj sekurecaj mezuroj, estas pli grave ol iam monitori la rimedojn, kiuj estas alireblaj de la porteblaj kaj labortablaj aparatoj de dungitoj, konscie aŭ sen ilia. scio. Se vi ne uzas la servon por detekti kaj bloki tiajn domajnojn (kaj Cisco konekto al ĉi tiu servo nun estas senpaga), tiam minimume agordu viajn retajn alirsolvojn por monitori domajnojn kun koncernaj ŝlosilvortoj. Samtempe, memoru, ke la tradicia aliro al nigralistigo de domajnoj, same kiel uzado de reputaciaj datumbazoj, povas malsukcesi, ĉar malicaj domajnoj estas kreitaj tre rapide kaj estas uzataj en nur 1-2 atakoj dum ne pli longa ol kelkaj horoj - tiam la atakantoj ŝanĝas al novaj efemeraj domajnoj. Kompanioj pri informa sekureco simple ne havas tempon rapide ĝisdatigi siajn scibazojn kaj distribui ilin al ĉiuj siaj klientoj.
Atakantoj daŭre aktive ekspluatas la retpoŝtan kanalon por distribui phishing-ligilojn kaj malware en aldonaĵoj. Kaj ilia efikeco estas sufiĉe alta, ĉar uzantoj, dum ili ricevas tute laŭleĝajn novaĵojn pri koronavirus, ne ĉiam povas rekoni ion malican en sia volumo. Kaj dum la nombro da infektitaj homoj nur kreskas, la gamo de tiaj minacoj ankaŭ nur kreskos.
Ekzemple, jen kiel aspektas ekzemplo de phishing-retpoŝto nome de la CDC:
Sekvante la ligilon, kompreneble, ne kondukas al la retejo de CDC, sed al falsa paĝo, kiu ŝtelas la ensaluton kaj pasvorton de la viktimo:
Jen ekzemplo de phishing-retpoŝto supozeble nome de la Monda Organizo pri Sano:
Kaj en ĉi tiu ekzemplo, la atakantoj kalkulas je tio, ke multaj homoj kredas, ke la aŭtoritatoj kaŝas de ili la veran skalon de la infekto, kaj tial uzantoj feliĉe kaj preskaŭ senhezite alklakas ĉi tiujn tipojn de leteroj kun malicaj ligiloj aŭ aldonaĵoj, kiuj supozeble malkaŝos ĉiujn sekretojn.
Cetere, ekzistas tia retejo , kiu ebligas al vi spuri diversajn indikilojn, ekzemple, mortecon, la nombron da fumantoj, populacion en diversaj landoj, ktp. La retejo ankaŭ havas paĝon dediĉitan al koronavirus. Kaj do kiam mi iris al ĝi la 16-an de marto, mi vidis paĝon, kiu dum momento igis min dubi, ke la aŭtoritatoj diras al ni la veron (mi ne scias, kio estas la kialo de ĉi tiuj nombroj, eble nur eraro):
Unu el la popularaj infrastrukturoj, kiujn atakantoj uzas por sendi similajn retpoŝtojn, estas Emotet, unu el la plej danĝeraj kaj popularaj minacoj de lastatempaj tempoj. Vortdokumentoj alkroĉitaj al retpoŝtaj mesaĝoj enhavas Emotet-elŝutilojn, kiuj ŝarĝas novajn malicajn modulojn sur la komputilon de la viktimo. Emotet estis komence uzita por reklami ligilojn al fraŭdaj retejoj vendantaj medicinajn maskojn, celante loĝantojn de Japanio. Malsupre vi vidas la rezulton de analizado de malica dosiero uzante sandboxing , kiu analizas dosierojn por maliceco.
Sed atakantoj ekspluatas ne nur la kapablon lanĉi en MS Word, sed ankaŭ en aliaj Microsoft-aplikoj, ekzemple, en MS Excel (tiel agis la grupo de piratoj APT36), sendante rekomendojn pri kontraŭbatali koronaviruson de la Registaro de Barato enhavanta Crimson. RATO:
Alia malica kampanjo ekspluatanta la koronavirusan temon estas Nanocore RAT, kiu ebligas instali programojn sur viktimaj komputiloj por fora aliro, kapti klavarajn batojn, kapti ekranbildojn, aliri dosierojn ktp.
Kaj Nanocore RAT estas kutime liverita per retpoŝto. Ekzemple, malsupre vi vidas ekzemplan retmesaĝon kun alfiksita ZIP-arkivo kiu enhavas plenumeblan PIF-dosieron. Alklakante la ruleblan dosieron, la viktimo instalas programon de fora aliro (Remote Access Tool, RAT) en sia komputilo.
Jen alia ekzemplo de kampanjo parazita pri la temo de COVID-19. La uzanto ricevas leteron pri supozata livero prokrasto pro koronavirus kun alfiksita fakturo kun la etendo .pdf.ace. Ene de la kunpremita arkivo estas plenumebla enhavo, kiu establas konekton al la komanda kaj kontrola servilo por ricevi pliajn komandojn kaj plenumi aliajn atakantajn celojn.
Parallax RAT havas similan funkciecon, kiu distribuas dosieron nomitan "nova infektita CORONAVIRUS-ĉielo 03.02.2020/XNUMX/XNUMX.pif" kaj kiu instalas malican programon, kiu interagas kun sia komandservilo per la DNS-protokolo. EDR-klasaj protektaj iloj, ekzemplo de kiu estas , kaj ĉu NGFW helpos monitori komunikadojn kun komandserviloj (ekzemple, ), aŭ DNS-monitoraj iloj (ekzemple, ).
En la malsupra ekzemplo, malware malproksime estis instalita sur la komputilo de viktimo, kiu pro nekonata kialo aĉetis reklamadon, ke regula kontraŭvirusa programo instalita sur komputilo povus protekti kontraŭ vera COVID-19. Kaj finfine iu enamiĝis al tia ŝajne ŝerco.
Sed inter malware estas ankaŭ iuj vere strangaj aferoj. Ekzemple, ŝercaj dosieroj, kiuj imitas la laboron de ransomware. En unu kazo, nia Cisco Talos-dividado dosiero nomita CoronaVirus.exe, kiu blokis la ekranon dum ekzekuto kaj startigis tempigilon kaj la mesaĝon "forigante ĉiujn dosierojn kaj dosierujojn en ĉi tiu komputilo - koronavirus."
Fininte la retronombradon, la butono ĉe la malsupro iĝis aktiva kaj kiam premite, la sekva mesaĝo estis montrita, dirante, ke ĉi tio estas ĉio ŝerco kaj ke vi devas premi Alt+F12 por fini la programon.
La batalo kontraŭ malicaj dissendoj povas esti aŭtomatigita, ekzemple, uzante , kiu permesas vin detekti ne nur malican enhavon en aldonaĵoj, sed ankaŭ spuri phishing-ligilojn kaj klakojn sur ili. Sed eĉ en ĉi tiu kazo, vi ne forgesu pri trejnado de uzantoj kaj regule farado de phishing simuladoj kaj ciberekzercoj, kiuj preparos uzantojn por diversaj lertaĵoj de atakantoj celitaj kontraŭ viaj uzantoj. Precipe se ili funkcias malproksime kaj per sia persona retpoŝto, malica kodo povas penetri en la kompanian aŭ departementan reton. Ĉi tie mi povus rekomendi novan solvon , kiu permesas ne nur fari mikro- kaj nano-trejnadon de dungitaro pri informaj sekurecproblemoj, sed ankaŭ organizi phishing-simuladojn por ili.
Sed se ial vi ne pretas uzi tiajn solvojn, tiam indas almenaŭ organizi regulajn dissendojn al viaj dungitoj kun memorigilo pri la phishing-danĝero, ĝiaj ekzemploj kaj listo de reguloj por sekura konduto (la ĉefa afero estas, ke atakantoj ne maskas sin kiel ili). Cetere, unu el la eblaj riskoj nuntempe estas phishing-mesaĝoj maskantaj kiel leteroj de via administrado, kiuj supozeble parolas pri novaj reguloj kaj proceduroj por fora laboro, deviga programaro, kiu devas esti instalita en foraj komputiloj, ktp. Kaj ne forgesu, ke krom retpoŝto, ciberkrimuloj povas uzi tujmesaĝilojn kaj sociajn retojn.
En ĉi tiu speco de dissendo aŭ konsciiga programo, vi ankaŭ povas inkluzivi la jam klasikan ekzemplon de falsa koronavirus-infekta mapo, kiu estis simila al tiu. Universitato Johns Hopkins. Diferenco estis, ke alirante phishing-ejon, malware estis instalita sur la komputilo de la uzanto, kiu ŝtelis uzantkontan informon kaj sendis ĝin al ciberkrimuloj. Unu versio de tia programo ankaŭ kreis RDP-ligojn por fora aliro al la komputilo de la viktimo.
Cetere, pri RDP. Ĉi tio estas alia atakvektoro, kiun atakantoj komencas uzi pli aktive dum la koronavirus-pandemio. Multaj kompanioj, kiam ili ŝanĝas al fora laboro, uzas servojn kiel RDP, kiu, se agordita malĝuste pro hasto, povas konduki al atakantoj enfiltri kaj forajn uzantajn komputilojn kaj ene de la kompania infrastrukturo. Krome, eĉ kun ĝusta agordo, diversaj RDP-efektivigoj povas havi vundeblecojn, kiuj povas esti ekspluatitaj de atakantoj. Ekzemple, Cisco Talos multnombraj vundeblecoj en FreeRDP, kaj en majo de la pasinta jaro, kritika vundebleco CVE-2019-0708 estis malkovrita en la Microsoft Remote Desktop-servo, kiu permesis ekzekuti arbitran kodon en la komputilo de la viktimo, enkonduki malware, ktp. Informilo pri ŝi eĉ estis disdonita , kaj, ekzemple, Cisco Talos rekomendoj por protekto kontraŭ ĝi.
Estas alia ekzemplo de la ekspluatado de la koronavirusa temo - la vera minaco de infekto de la familio de la viktimo se ili rifuzas pagi la elaĉetomonon en bitcoins. Por plibonigi la efikon, por doni signifon al la letero kaj krei senton de ĉiopovo de la ŝtormisto, la pasvorto de la viktimo de unu el liaj kontoj, akirita de publikaj datumbazoj de ensalutoj kaj pasvortoj, estis enmetita en la tekston de la letero.
En unu el la supraj ekzemploj, mi montris phishing-mesaĝon de la Monda Organizo pri Sano. Kaj jen alia ekzemplo, en kiu uzantoj petas financan helpon por batali kontraŭ COVID-19 (kvankam en la kaplinio en la korpo de la letero, la vorto "DONACIO" tuj rimarkas). Kaj ili petas helpon en bitcoins por protekti kontraŭ spurado de kripta monero.
Kaj hodiaŭ ekzistas multaj tiaj ekzemploj ekspluatantaj la kompaton de uzantoj:
Bitcoins rilatas al COVID-19 alimaniere. Ekzemple, tiel aspektas la poŝtaĵoj ricevitaj de multaj britaj civitanoj, kiuj sidas hejme kaj ne povas gajni monon (en Rusio nun ankaŭ tio fariĝos grava).
Maskante kiel konatajn gazetojn kaj novaĵejojn, ĉi tiuj dissendoj ofertas facilan monon per minado de kriptaj moneroj sur specialaj retejoj. Fakte, post iom da tempo, vi ricevas mesaĝon, ke la kvanto, kiun vi gajnis, povas esti retirita al speciala konto, sed vi devas translokigi malgrandan kvanton da impostoj antaŭ tio. Estas klare, ke post ricevi ĉi tiun monon, la skamantoj ne transdonas ion ajn kontraŭe, kaj la naiva uzanto perdas la transdonitan monon.
Estas alia minaco asociita kun la Monda Organizo pri Sano. Hakistoj hakis la DNS-agordojn de D-Link kaj Linksys-enkursigiloj, ofte uzataj de hejmaj uzantoj kaj malgrandaj entreprenoj, por redirekti ilin al falsa retejo kun pop-up averto pri la bezono instali la OMS-apon, kiu konservos ilin. ĝisdatigita kun la plej novaj novaĵoj pri la koronavirus. Krome, la aplikaĵo mem enhavis la malican programon Oski, kiu ŝtelas informojn.
Simila ideo kun aplikaĵo enhavanta la aktualan staton de COVID-19-infekto estas ekspluatata de la Android Trojan CovidLock, kiu estas distribuita per aplikaĵo, kiu estas supozeble "atestita" de la Usona Departemento pri Edukado, OMS kaj la Centro por Epidemia Kontrolo ( KONTROL-CENTRO PRI MALSANO).
Multaj uzantoj hodiaŭ estas en mem-izolado kaj, nevolaj aŭ nekapabla kuiri, aktive uzas liverservojn por manĝaĵo, nutraĵoj aŭ aliaj varoj, kiel neceseja papero. Atakantoj ankaŭ regis ĉi tiun vektoron por siaj propraj celoj. Ekzemple, jen kiel malica retejo aspektas, simila al legitima rimedo posedata de Canada Post. La ligo de la SMS ricevita de la viktimo kondukas al retejo, kiu raportas, ke la mendita produkto ne povas esti liverita ĉar mankas nur $3, kiuj devas esti pagitaj krome. En ĉi tiu kazo, la uzanto estas direktita al paĝo kie li devas indiki la detalojn de sia kreditkarto... kun ĉiuj sekvaj konsekvencoj.
Konklude, mi ŝatus doni du pliajn ekzemplojn de ciberminacoj rilate al COVID-19. Ekzemple, la kromprogramoj "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" aŭ "Covid-19" estas enkonstruitaj en retejoj uzante la popularan WordPress-motoron kaj, kune kun montrado de mapon de la disvastiĝo de la koronavirus, ankaŭ enhavas la malware WP-VCD. Kaj la kompanio Zoom, kiu, post la kresko de la nombro da interretaj eventoj, fariĝis tre, tre populara, alfrontis tion, kion spertuloj nomis "Zoombombing". La atakantoj, sed fakte ordinaraj pornotroloj, konektiĝis al interretaj babilejoj kaj interretaj renkontiĝoj kaj montris diversajn obscenajn filmetojn. Cetere, similan minacon hodiaŭ renkontas rusaj kompanioj.
Mi pensas, ke la plimulto el ni regule kontrolas diversajn rimedojn, oficialajn kaj ne tiom oficialajn, pri la nuna stato de la pandemio. Atakantoj ekspluatas ĉi tiun temon, proponante al ni la "lastajn" informojn pri la koronavirus, inkluzive de informoj "kiujn la aŭtoritatoj kaŝas de vi." Sed eĉ ordinaraj ordinaraj uzantoj lastatempe ofte helpis atakantojn sendante kodojn de kontrolitaj faktoj de "konatoj" kaj "amikoj". Psikologoj diras, ke tia agado de "alarmistaj" uzantoj, kiuj sendas ĉion, kio venas en sian vidkampon (precipe en sociaj retoj kaj tujmesaĝiloj, kiuj ne havas protektajn mekanismojn kontraŭ tiaj minacoj), permesas al ili senti sin implikitaj en la batalo kontraŭ tutmonda minaco kaj eĉ sentas sin kiel herooj savantaj la mondon de koronavirus. Sed, bedaŭrinde, la manko de speciala scio kondukas al tio, ke ĉi tiuj bonaj intencoj "kondukas ĉiujn al infero", kreante novajn cibersekurecajn minacojn kaj vastigante la nombron da viktimoj.
Fakte, mi povus daŭrigi kun ekzemploj de ciberminacoj rilataj al koronavirus; Krome, ciberkrimuloj ne staras kaj elpensas pli kaj pli novajn manierojn ekspluati homajn pasiojn. Sed mi pensas, ke ni povas halti tie. La bildo jam estas klara kaj ĝi diras al ni, ke en la proksima estonteco la situacio nur plimalboniĝos. Hieraŭ, Moskvaj aŭtoritatoj metis la urbon de dek milionoj da homoj sub mem-izolon. Same faris la aŭtoritatoj de la Moskva regiono kaj multaj aliaj regionoj de Rusio, same kiel niaj plej proksimaj najbaroj en la iama postsovetia spaco. Ĉi tio signifas, ke la nombro da eblaj viktimoj celitaj de ciberkrimuloj multoble pliiĝos. Tial indas ne nur rekonsideri vian sekurecan strategion, kiu ĝis antaŭ nelonge estis koncentrita al protekti nur kompanian aŭ departementan reton, kaj taksi kiajn protektajn ilojn mankas al vi, sed ankaŭ konsiderante la ekzemplojn donitajn en via programo pri persona konscio, kiu estas iĝante grava parto de la informsekureca sistemo por foraj laboristoj. A preta helpi vin pri tio!
PS. En la preparado de ĉi tiu materialo, materialoj de Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security kaj RiskIQ-kompanioj, la Usona Departemento de Justeco, Bleeping Computer-resursoj, SecurityAffairs, ktp.
fonto: www.habr.com