El tema del coronavirus ha llenado hoy todas las fuentes de noticias y también se ha convertido en el principal hilo conductor de diversas actividades de los atacantes que explotan el tema del COVID-19 y todo lo relacionado con él. En esta nota, me gustaría llamar la atención sobre algunos ejemplos de este tipo de actividad maliciosa, que, por supuesto, no es un secreto para muchos especialistas en seguridad de la información, pero cuyo resumen en una nota le facilitará la preparación de su propia conciencia. -Provocando eventos para los empleados, algunos de los cuales trabajan de forma remota y otros son más susceptibles que antes a diversas amenazas a la seguridad de la información.
Un minuto de atención desde un OVNI
El mundo ha declarado oficialmente una pandemia de COVID-19, una infección respiratoria aguda potencialmente grave causada por el coronavirus SARS-CoV-2 (2019-nCoV). Hay mucha información sobre Habré sobre este tema; recuerde siempre que puede ser confiable/útil y viceversa.
Le recomendamos que sea crítico con cualquier información publicada.
Fuentes oficiales
- Sitios web y grupos oficiales de sedes operativas en las regiones
Si no vive en Rusia, consulte sitios similares en su país.
Lávate las manos, cuida a tus seres queridos, quédate en casa si es posible y trabaja de forma remota.Leer publicaciones sobre: |
Cabe señalar que hoy en día no existen amenazas completamente nuevas asociadas con el coronavirus. Más bien, estamos hablando de vectores de ataque que ya se han vuelto tradicionales y que simplemente se utilizan en una nueva “salsa”. Entonces, llamaría a los tipos clave de amenazas:
- Sitios de phishing y boletines informativos relacionados con el coronavirus y códigos maliciosos relacionados.
- Fraude y desinformación destinados a explotar el miedo o la información incompleta sobre el COVID-19
- Ataques contra organizaciones involucradas en la investigación del coronavirus.
En Rusia, donde los ciudadanos tradicionalmente no confían en las autoridades y creen que les están ocultando la verdad, la probabilidad de "promover" con éxito sitios de phishing y listas de correo, así como recursos fraudulentos, es mucho mayor que en países con políticas más abiertas. autoridades. Aunque hoy en día nadie puede considerarse absolutamente protegido de los ciberestafadores creativos que aprovechan todas las debilidades humanas clásicas de una persona: miedo, compasión, codicia, etc.
Tomemos, por ejemplo, un sitio fraudulento que vende mascarillas médicas.
Un sitio similar, CoronavirusMedicalkit[.]com, fue cerrado por las autoridades estadounidenses por distribuir gratuitamente una vacuna inexistente contra el COVID-19 con "sólo" envío postal para enviar el medicamento. En este caso, con un precio tan bajo, el cálculo fue para la demanda urgente del medicamento en condiciones de pánico en Estados Unidos.
Esta no es una ciberamenaza clásica, ya que la tarea de los atacantes en este caso no es infectar a los usuarios o robar sus datos personales o información de identificación, sino simplemente aprovechar la ola de miedo para obligarlos a desembolsar y comprar máscaras médicas a precios inflados. entre 5, 10 y 30 veces el coste real. Pero la idea misma de crear un sitio web falso aprovechando el tema del coronavirus también está siendo utilizada por los ciberdelincuentes. Por ejemplo, aquí hay un sitio cuyo nombre contiene la palabra clave “covid19”, pero que también es un sitio de phishing.
Con carácter general, seguimiento diario de nuestro servicio de investigación de incidencias. , ves cuantos dominios se están creando cuyos nombres contienen las palabras covid, covid19, coronavirus, etc. Y muchos de ellos son maliciosos.
En un entorno donde algunos de los empleados de la empresa son trasladados a trabajar desde casa y no están protegidos por las medidas de seguridad corporativas, es más importante que nunca monitorear los recursos a los que se accede desde los dispositivos móviles y de escritorio de los empleados, a sabiendas o sin su consentimiento. conocimiento. Si no estás utilizando el servicio para detectar y bloquear dichos dominios (y Cisco la conexión a este servicio ahora es gratuita), luego, como mínimo, configure sus soluciones de monitoreo de acceso web para monitorear dominios con palabras clave relevantes. Al mismo tiempo, recuerde que el enfoque tradicional de incluir dominios en listas negras, así como el uso de bases de datos de reputación, puede fallar, ya que los dominios maliciosos se crean muy rápidamente y se utilizan en solo 1 o 2 ataques durante no más de unas pocas horas; los atacantes cambian a otros nuevos dominios efímeros. Las empresas de seguridad de la información simplemente no tienen tiempo para actualizar rápidamente sus bases de conocimientos y distribuirlas a todos sus clientes.
Los atacantes continúan explotando activamente el canal de correo electrónico para distribuir enlaces de phishing y malware en archivos adjuntos. Y su efectividad es bastante alta, ya que los usuarios, aunque reciben correos de noticias completamente legales sobre el coronavirus, no siempre pueden reconocer algo malicioso en su volumen. Y aunque el número de personas infectadas no hace más que crecer, el alcance de dichas amenazas también seguirá creciendo.
Por ejemplo, así es como se ve un ejemplo de un correo electrónico de phishing en nombre de los CDC:
Seguir el enlace, por supuesto, no conduce al sitio web de los CDC, sino a una página falsa que roba el nombre de usuario y la contraseña de la víctima:
A continuación se muestra un ejemplo de un correo electrónico de phishing supuestamente en nombre de la Organización Mundial de la Salud:
Y en este ejemplo, los atacantes cuentan con el hecho de que muchas personas creen que las autoridades les ocultan la verdadera magnitud de la infección, por lo que los usuarios hacen clic alegremente y casi sin dudarlo en este tipo de cartas con enlaces o archivos adjuntos maliciosos que supuestamente revelará todos los secretos.
Por cierto, existe un sitio así. , que le permite realizar un seguimiento de varios indicadores, por ejemplo, mortalidad, número de fumadores, población en diferentes países, etc. El sitio web también tiene una página dedicada al coronavirus. Y así cuando entré el 16 de marzo, vi una página que por un momento me hizo dudar de que las autoridades nos estuvieran diciendo la verdad (no sé cuál es el motivo de estos números, quizás sea solo un error):
Una de las infraestructuras populares que utilizan los atacantes para enviar correos electrónicos similares es Emotet, una de las amenazas más peligrosas y populares de los últimos tiempos. Los documentos de Word adjuntos a los mensajes de correo electrónico contienen descargadores de Emotet, que cargan nuevos módulos maliciosos en la computadora de la víctima. Emotet se utilizó inicialmente para promover enlaces a sitios fraudulentos que vendían máscaras médicas, dirigidos a residentes de Japón. A continuación puede ver el resultado de analizar un archivo malicioso mediante sandboxing. , que analiza archivos en busca de malicia.
Pero los atacantes aprovechan no solo la capacidad de ejecutar MS Word, sino también otras aplicaciones de Microsoft, por ejemplo MS Excel (así actuó el grupo de hackers APT36), enviando recomendaciones del gobierno de la India para combatir el coronavirus que contienen Crimson. RATA:
Otra campaña maliciosa que explota el tema del coronavirus es Nanocore RAT, que permite instalar programas en los ordenadores de las víctimas para acceder de forma remota, interceptar pulsaciones de teclado, capturar imágenes de pantalla, acceder a archivos, etc.
Y Nanocore RAT normalmente se entrega por correo electrónico. Por ejemplo, a continuación verá un mensaje de correo de ejemplo con un archivo ZIP adjunto que contiene un archivo PIF ejecutable. Al hacer clic en el archivo ejecutable, la víctima instala un programa de acceso remoto (Remote Access Tool, RAT) en su computadora.
He aquí otro ejemplo de una campaña parásita sobre el tema del COVID-19. El usuario recibe una carta sobre un supuesto retraso en la entrega debido al coronavirus con una factura adjunta con la extensión .pdf.ace. Dentro del archivo comprimido hay contenido ejecutable que establece una conexión con el servidor de comando y control para recibir comandos adicionales y realizar otros objetivos del atacante.
Parallax RAT tiene una funcionalidad similar, que distribuye un archivo llamado “nuevo CORONAVIRUS sky infectado 03.02.2020/XNUMX/XNUMX.pif” y que instala un programa malicioso que interactúa con su servidor de comando a través del protocolo DNS. Herramientas de protección de clase EDR, un ejemplo de las cuales es , y NGFW ayudará a monitorear las comunicaciones con los servidores de comando (por ejemplo, ), o herramientas de monitoreo de DNS (por ejemplo, ).
En el siguiente ejemplo, se instaló malware de acceso remoto en la computadora de una víctima que, por alguna razón desconocida, compró publicidad de que un programa antivirus normal instalado en una PC podría proteger contra el COVID-19 real. Y después de todo, alguien se enamoró de una aparente broma.
Pero entre el malware también hay cosas realmente extrañas. Por ejemplo, archivos de broma que emulan el trabajo del ransomware. En un caso, nuestra división Cisco Talos un archivo llamado CoronaVirus.exe, que bloqueó la pantalla durante la ejecución e inició un temporizador y el mensaje "eliminando todos los archivos y carpetas de esta computadora - coronavirus".
Al finalizar la cuenta regresiva, el botón en la parte inferior se activó y al presionarlo, se mostró el siguiente mensaje, diciendo que todo esto era una broma y que debía presionar Alt+F12 para finalizar el programa.
La lucha contra los correos maliciosos se puede automatizar, por ejemplo, utilizando , que le permite detectar no solo contenido malicioso en los archivos adjuntos, sino también rastrear enlaces de phishing y clics en ellos. Pero incluso en este caso, no debe olvidarse de capacitar a los usuarios y realizar periódicamente simulaciones de phishing y ejercicios cibernéticos, que prepararán a los usuarios para diversos trucos de los atacantes dirigidos contra sus usuarios. Especialmente si trabajan de forma remota y a través de su correo electrónico personal, un código malicioso puede penetrar en la red corporativa o departamental. Aquí podría recomendar una nueva solución. , que permite no solo realizar micro y nanocapacitación del personal en temas de seguridad de la información, sino también organizar simulaciones de phishing para ellos.
Pero si por alguna razón no está preparado para utilizar este tipo de soluciones, al menos debería organizar envíos postales periódicos a sus empleados recordándoles el peligro del phishing, sus ejemplos y una lista de reglas de comportamiento seguro (lo principal es que los atacantes no se disfrazan de ellos). Por cierto, uno de los posibles riesgos en la actualidad son los correos de phishing disfrazados de cartas de su dirección, que supuestamente hablan de nuevas reglas y procedimientos para el trabajo remoto, software obligatorio que debe instalarse en ordenadores remotos, etc. Y no olvide que, además del correo electrónico, los ciberdelincuentes pueden utilizar la mensajería instantánea y las redes sociales.
En este tipo de envíos de correo o programas de sensibilización también se puede incluir el ya clásico ejemplo de un mapa falso de infección por coronavirus, similar al Universidad Johns Hopkins. Diferencia fue que al acceder a un sitio de phishing, se instalaba malware en el ordenador del usuario, que robaba información de la cuenta del usuario y la enviaba a los ciberdelincuentes. Una versión de dicho programa también creaba conexiones RDP para acceso remoto a la computadora de la víctima.
Por cierto, sobre RDP. Este es otro vector de ataque que los atacantes están empezando a utilizar de forma más activa durante la pandemia de coronavirus. Muchas empresas, al pasar al trabajo remoto, utilizan servicios como RDP, que, si se configuran incorrectamente debido a las prisas, pueden provocar que los atacantes se infiltren tanto en los ordenadores de los usuarios remotos como en el interior de la infraestructura corporativa. Además, incluso con la configuración correcta, varias implementaciones de RDP pueden tener vulnerabilidades que los atacantes pueden aprovechar. Por ejemplo, Cisco Talos múltiples vulnerabilidades en FreeRDP, y en mayo del año pasado se descubrió una vulnerabilidad crítica CVE-2019-0708 en el servicio de Escritorio Remoto de Microsoft, que permitía ejecutar código arbitrario en el ordenador de la víctima, introducir malware, etc. Incluso se distribuyó un boletín sobre ella. y, por ejemplo, Cisco Talos recomendaciones para protegerse contra ella.
Hay otro ejemplo de la explotación del tema del coronavirus: la amenaza real de infección de la familia de la víctima si se niega a pagar el rescate en bitcoins. Para mejorar el efecto, darle significado a la carta y crear una sensación de omnipotencia del extorsionador, se insertó en el texto de la carta la contraseña de la víctima de una de sus cuentas, obtenida de bases de datos públicas de inicios de sesión y contraseñas.
En uno de los ejemplos anteriores, mostré un mensaje de phishing de la Organización Mundial de la Salud. Y he aquí otro ejemplo en el que a los usuarios se les pide ayuda económica para luchar contra el COVID-19 (aunque en el encabezado del cuerpo de la carta se nota inmediatamente la palabra “DONACIÓN”) y piden ayuda en bitcoins para protegerse contra seguimiento de criptomonedas.
Y hoy en día existen muchos ejemplos de este tipo que explotan la compasión de los usuarios:
Los bitcoins están relacionados con el COVID-19 de otra manera. Por ejemplo, así son los correos recibidos por muchos ciudadanos británicos que están sentados en casa y no pueden ganar dinero (ahora esto también será relevante en Rusia).
Haciéndose pasar por conocidos periódicos y sitios de noticias, estos correos ofrecen dinero fácil extrayendo criptomonedas en sitios especiales. De hecho, después de un tiempo, recibirá un mensaje de que la cantidad que ha ganado se puede retirar a una cuenta especial, pero antes de eso debe transferir una pequeña cantidad de impuestos. Está claro que después de recibir este dinero, los estafadores no transfieren nada a cambio y el usuario crédulo pierde el dinero transferido.
Hay otra amenaza asociada con la Organización Mundial de la Salud. Los piratas informáticos piratearon la configuración DNS de los enrutadores D-Link y Linksys, utilizados a menudo por usuarios domésticos y pequeñas empresas, para redirigirlos a un sitio web falso con una ventana emergente advirtiendo sobre la necesidad de instalar la aplicación OMS, que los mantendrá al día con las últimas novedades sobre el coronavirus. Además, la propia aplicación contenía el programa malicioso Oski, que roba información.
Una idea similar con una aplicación que contiene el estado actual de la infección por COVID-19 es explotada por el troyano CovidLock de Android, que se distribuye a través de una aplicación supuestamente "certificada" por el Departamento de Educación de EE. UU., la OMS y el Centro para el Control de Epidemias ( CENTROS PARA EL CONTROL Y LA PREVENCIÓN DE ENFERMEDADES).
Hoy en día, muchos usuarios se encuentran en aislamiento y, al no querer o no poder cocinar, utilizan activamente los servicios de entrega de alimentos, comestibles u otros productos, como papel higiénico. Los atacantes también han dominado este vector para sus propios fines. Por ejemplo, así es como se ve un sitio web malicioso, similar a un recurso legítimo propiedad de Canada Post. El enlace del SMS recibido por la víctima conduce a un sitio web que informa que el producto solicitado no se puede entregar porque solo faltan $3, que deben pagarse más. En este caso, el usuario es dirigido a una página donde deberá indicar los datos de su tarjeta de crédito… con todas las consecuencias consiguientes.
Para concluir, me gustaría dar dos ejemplos más de ciberamenazas relacionadas con el COVID-19. Por ejemplo, los complementos “Coronavirus COVID-19 - Complemento de WordPress Live Map”, “Gráficos de predicción de propagación del coronavirus” o “Covid-19” están integrados en sitios que utilizan el popular motor de WordPress y, además de mostrar un mapa de la propagación del coronavirus, también contienen el malware WP-VCD. Y la empresa Zoom, que a raíz del aumento del número de eventos en línea se hizo muy, muy popular, se enfrentó a lo que los expertos llamaron “Zoombombing”. Los atacantes, en realidad trolls porno corrientes, se conectaron a chats y reuniones online y mostraron varios vídeos obscenos. Por cierto, hoy en día las empresas rusas enfrentan una amenaza similar.
Creo que la mayoría de nosotros consultamos periódicamente diversos recursos, tanto oficiales como no tan oficiales, sobre el estado actual de la pandemia. Los atacantes están explotando este tema, ofreciéndonos la información "más reciente" sobre el coronavirus, incluida información "que las autoridades le ocultan". Pero incluso los usuarios comunes y corrientes han ayudado últimamente a los atacantes enviándoles códigos de hechos verificados de "conocidos" y "amigos". Los psicólogos afirman que esta actividad de los usuarios "alarmistas", que envían todo lo que entra en su campo de visión (especialmente en las redes sociales y mensajería instantánea, que no cuentan con mecanismos de protección contra tales amenazas), les permite sentirse involucrados en la lucha contra una amenaza global e incluso se sienten héroes salvando al mundo del coronavirus. Pero, lamentablemente, la falta de conocimientos especiales lleva a que estas buenas intenciones “lleven a todos al infierno”, creando nuevas amenazas a la ciberseguridad y ampliando el número de víctimas.
De hecho, podría seguir con ejemplos de ciberamenazas relacionadas con el coronavirus; Además, los ciberdelincuentes no se quedan quietos y idean cada vez más formas nuevas de explotar las pasiones humanas. Pero creo que podemos detenernos ahí. El panorama ya es claro y nos dice que en un futuro próximo la situación no hará más que empeorar. Ayer, las autoridades de Moscú pusieron a esta ciudad de diez millones de habitantes bajo autoaislamiento. Lo mismo hicieron las autoridades de la región de Moscú y de muchas otras regiones de Rusia, así como de nuestros vecinos más cercanos en el antiguo espacio postsoviético. Esto significa que el número de víctimas potenciales a las que se dirigen los ciberdelincuentes aumentará muchas veces. Por lo tanto, vale la pena no solo reconsiderar su estrategia de seguridad, que hasta hace poco se centraba en proteger solo una red corporativa o departamental, y evaluar qué herramientas de protección le faltan, sino también tener en cuenta los ejemplos dados en su programa de concientización del personal, que es convirtiéndose en una parte importante del sistema de seguridad de la información para los trabajadores remotos. A listo para ayudarte con esto!
PD. En la preparación de este material se utilizaron materiales de las empresas Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security y RiskIQ, el Departamento de Justicia de EE. UU., Bleeping Computer resources, SecurityAffairs, etc.
Fuente: habr.com