Gaur koronabirusaren gaiak albiste-jario guztiak bete ditu, eta COVID-19 gaia eta hari lotutako guztia ustiatzen duten erasotzaileen jardueren leitmotiv nagusia ere bihurtu da. Ohar honetan, horrelako jarduera gaiztoen adibide batzuei erreparatu nahi diet, eta hori, noski, ez da sekretua informazio-segurtasuneko espezialista askorentzat, baina ohar batean laburpenari esker zure kontzientzia prestatzea erraztuko da. -Langileentzako ekitaldiak planteatzea, batzuk urrunetik lan egiten dutenak eta beste batzuk lehen baino informazio-segurtasunaren hainbat mehatxuren aurrean jasaten dituztenak.
UFO baten zaintza minutu bat
Munduak ofizialki deklaratu du COVID-19 pandemia, SARS-CoV-2 koronavirusak (2019-nCoV) eragindako arnas infekzio akutu potentzial larria. Gai honi buruz Habréri buruzko informazio asko dago - beti gogoratu fidagarria/erabilgarria izan daitekeela eta alderantziz.
Argitaratutako edozein informaziorekin kritiko izatera animatzen zaituztegu.
Iturri ofizialak
- Eskualdeetako egoitza operatiboen webguneak eta talde ofizialak
Errusian bizi ez bazara, mesedez begiratu zure herrialdeko antzeko guneetara.
Eskuak garbitu, maite dituzunak zaindu, ahal izanez gero etxean egon eta urrunetik lan egin.Irakurri hauei buruzko argitalpenak: |
Kontuan izan behar da gaur egun ez dagoela koronabirusarekin lotutako mehatxu guztiz berririk. Baizik eta, dagoeneko tradizional bihurtu diren eraso-bektoreez ari gara, besterik gabe "saltsa" berri batean erabiliak. Beraz, mehatxu mota nagusiei deituko nieke:
- koronavirusarekin eta erlazionatutako kode maltzurrekin lotutako phishing guneak eta buletinak
- COVID-19ari buruzko beldurra edo informazio osatugabea baliatzea helburu duten iruzurra eta desinformazioa
- koronavirusaren ikerketan parte hartzen duten erakundeen aurkako erasoak
Errusian, tradizionalki herritarrek ez baitute agintariengan fidatzen eta egia ezkutatzen ari zaiela uste dutenean, phishing guneak eta posta-zerrendak arrakastaz "sustatzeko" probabilitatea, baita iruzurrezko baliabideak ere, askoz ere handiagoa da irekiagoak dituzten herrialdeetan baino. agintariak. Nahiz eta gaur egun inork ezin duen bere burua guztiz babestuta egon pertsona baten giza ahulgune klasiko guztiak erabiltzen dituzten ziber-iruzurgile sortzaileetatik - beldurra, errukia, gutizia, etab.
Har dezagun, adibidez, maskarak saltzen dituen iruzurrezko gune bat.
Antzeko gune bat, CoronavirusMedicalkit[.]com, itxi zuten AEBetako agintariek, existitzen ez zen COVID-19 txertoa doan banatzeagatik sendagaia bidaltzeko "bakarrik" frankeoarekin. Kasu honetan, hain prezio baxuarekin, kalkulua Estatu Batuetako izu-baldintzetan sendagaiaren eskaria presakoa zen.
Hau ez da ziber-mehatxu klasiko bat, erasotzaileen zeregina ez baita erabiltzaileak kutsatzea edo haien datu pertsonalak edo identifikazio-informazioa lapurtzea, baizik eta beldurraren uhinean, maskara medikoak prezio puztuetan ateratzera behartzeko. 5-10-30 aldiz benetako kostua gaindituz. Baina koronavirusaren gaia ustiatzen duen webgune faltsu bat sortzeko ideia bera ere erabiltzen ari dira ziberkriminalak. Adibidez, hona hemen bere izenak "covid19" gako-hitza duen gune bat, baina phishing gune bat ere bada.
Oro har, gure gorabeherak ikertzeko zerbitzua egunero kontrolatzea , ikusten duzu zenbat domeinu sortzen ari diren zeinen izenak covid, covid19, coronavirus, etab hitzak dituzten. Eta horietako asko gaiztoak dira.
Enpresako langile batzuk etxetik lanera eramaten dituzten eta segurtasun neurri korporatiboen bidez babestuta ez dauden ingurune batean, inoiz baino garrantzitsuagoa da langileen mugikor eta mahaigaineko gailuetatik atzitzen diren baliabideak kontrolatzea, jakinik edo haien gabe. ezagutza. Zerbitzua erabiltzen ari ez bazara horrelako domeinuak detektatzeko eta blokeatzeko (eta Cisco zerbitzu honetarako konexioa doakoa da orain), eta, gutxienez, konfiguratu zure Weberako sarbidea monitorizatzeko soluzioak gako-hitz garrantzitsuak dituzten domeinuak kontrolatzeko. Aldi berean, gogoratu domeinuen zerrenda beltzeko ikuspegi tradizionalak, eta baita ospearen datu-baseak erabiltzeak ere, huts egin dezakeela, domeinu gaiztoak oso azkar sortzen direlako eta 1-2 erasotan soilik erabiltzen direlako ordu gutxi batzuetan baino gehiagotan; erasotzaileak domeinu iragankor berrietara aldatzen dira. Informazioaren segurtasuneko enpresek, besterik gabe, ez dute astirik beren ezagutza oinarriak azkar eguneratzeko eta bezero guztiei banatzeko.
Erasotzaileek posta elektronikoko kanala aktiboki ustiatzen jarraitzen dute phishing estekak eta malwarea eranskinetan banatzeko. Eta haien eraginkortasuna nahiko altua da, erabiltzaileek, koronabirusari buruzko albiste guztiz legezkoak jasotzen dituzten bitartean, ezin baitute beti zerbait gaiztorik ezagutu beren bolumenean. Eta kutsatutako pertsonen kopurua hazten ari den arren, mehatxu horien sorta ere hazi baino ez da egingo.
Adibidez, hauxe da CDCren izenean phishing-mezu baten adibidea:
Esteka jarraitzeak, noski, ez du CDCren webgunera eramaten, biktimaren saioa eta pasahitza lapurtzen dituen orri faltsu batera baizik:
Hona hemen Osasunaren Mundu Erakundearen ustez ustez phishing-mezu baten adibide bat:
Eta adibide honetan, erasotzaileak zenbatzen ari dira jende askok uste duela agintariek infekzioaren benetako eskala ezkutatzen dietela, eta, beraz, erabiltzaileek pozik eta ia zalantzarik gabe sakatzen dituztela esteka edo eranskin gaiztoak dituzten gutun mota hauetan. ustez sekretu guztiak agerian jarriko ditu.
Bide batez, badago halako gune bat , hainbat adierazleren jarraipena egiteko aukera ematen duena, adibidez, hilkortasuna, erretzaile kopurua, herrialde ezberdinetako biztanleria, etab. Webguneak koronabirusari eskainitako orri bat ere badu. Eta horrela, martxoaren 16an bertara joan nintzenean, une batez agintariek egia esaten ziguten zalantzan jarri ninduen orrialde bat ikusi nuen (ez dakit zein den zenbaki horien arrazoia, akats bat besterik ez da agian):
Erasotzaileek antzeko mezu elektronikoak bidaltzeko erabiltzen duten azpiegitura ezagunetako bat Emotet da, azken garaiotako mehatxurik arriskutsu eta ezagunenetako bat. Mezu elektronikoei erantsitako Word dokumentuek Emotet deskargagailuak dituzte, biktimen ordenagailuan modulu gaizto berriak kargatzen dituztenak. Hasieran, Emotet maskarak saltzen zituzten iruzurrezko guneetarako estekak sustatzeko erabiltzen zen, Japoniako bizilagunei zuzenduta. Behean fitxategi maltzur bat sandboxing erabiliz aztertzearen emaitza ikusten duzu , fitxategiak maltzurkeria aztertzen dituena.
Baina erasotzaileek MS Word-en abiarazteko gaitasuna ez ezik, Microsoft-eko beste aplikazio batzuetan ere ustiatzen dute, adibidez, MS Excel-en (horrela jokatu zuen APT36 hacker taldeak), Crimson duten Indiako Gobernuak koronavirusari aurre egiteko gomendioak bidaliz. ARRATOA:
Koronabirusaren gaia ustiatzen duen beste kanpaina gaizto bat Nanocore RAT da, biktimen ordenagailuetan urrutiko sarbidea izateko, teklatuaren kolpeak atzemateko, pantailako irudiak ateratzeko, fitxategiak atzitzeko, etab.
Eta Nanocore RAT normalean posta elektronikoz bidaltzen da. Adibidez, behean posta-mezu bat ikusten duzu erantsitako ZIP artxibo batekin, PIF fitxategi exekutagarri bat daukana. Fitxategi exekutagarrian klik eginez, biktimak urruneko sarbide programa bat (Urrutiko Sarbide Erreminta, RAT) instalatzen du bere ordenagailuan.
Hona hemen COVID-19 gaiari buruzko kanpaina parasito baten beste adibide bat. Erabiltzaileak koronabirusaren ondoriozko entrega-atzerapen bati buruzko gutun bat jasotzen du .pdf.ace luzapena duen faktura erantsia duena. Artxibo konprimituaren barruan komando eta kontrol zerbitzariarekin konexio bat ezartzen duen eduki exekutagarria dago komando osagarriak jasotzeko eta erasotzaileen beste helburu batzuk egiteko.
Parallax RAT-ek antzeko funtzionaltasuna du, "infektatutako CORONAVIRUS zerua 03.02.2020/XNUMX/XNUMX.pif" izeneko fitxategia banatzen duena eta DNS protokoloaren bidez bere komando zerbitzariarekin elkarreragiten duen programa gaizto bat instalatzen duena. EDR klase babesteko tresnak, horren adibide bat da , eta NGFW-k komando-zerbitzariekin komunikazioak kontrolatzen lagunduko du (adibidez, ), edo DNS monitorizatzeko tresnak (adibidez, ).
Beheko adibidean, urruneko sarbideko malware-a instalatu zen biktima baten ordenagailuan, arrazoi ezezagun bategatik, ordenagailu batean instalatutako birusen aurkako programa arrunt batek benetako COVID-19-ren aurka babestu zezakeela iragarkia erosi zuen. Eta azken finean, norbaitek itxuraz halako txantxetan erori zen.
Baina malwarearen artean gauza arraro batzuk ere badaude. Adibidez, ransomwarearen lana emulatzen duten txantxa fitxategiak. Kasu batean, gure Cisco Talos dibisioa CoronaVirus.exe izeneko fitxategia, exekuzioan pantaila blokeatu zuen eta tenporizadorea eta "ordenagailu honetako fitxategi eta karpeta guztiak ezabatzen - koronavirusak" mezua abiarazi zuen.
Atzerako kontaketa amaitutakoan, beheko botoia aktibatu zen eta sakatzean, honako mezu hau bistaratu zen, hau guztia txantxa bat zela esanez eta Alt+F12 sakatu behar zenuela programa amaitzeko.
Posta gaiztoen aurkako borroka automatizatu daiteke, adibidez, erabiliz , eranskinetan eduki gaiztoa ez ezik, phishing estekak eta horien gainean egindako klikak ere detektatzeko aukera ematen duena. Baina kasu honetan ere, ez duzu ahaztu behar erabiltzaileak trebatzeaz eta aldizka phishing-simulazioak eta ziber-ariketak egiteaz, erabiltzaileak zure erabiltzaileei zuzendutako erasotzaileen hainbat trikimailetarako prestatuko dituztenak. Batez ere urrunetik eta posta elektroniko pertsonalaren bidez lan egiten badute, kode gaiztoak sare korporatiboan edo sailetan sar daitezke. Hemen irtenbide berri bat gomenda nezake , informazioaren segurtasun gaietan langileen mikro eta nanoprestakuntza egiteaz gain, phishing simulazioak antolatzeko aukera ematen duena.
Baina arrazoiren batengatik ez bazaude horrelako irtenbideak erabiltzeko prest, orduan merezi du gutxienez zure langileei posta arruntak antolatzea phishing arriskua gogoraraziz, bere adibideak eta portaera segururako arauen zerrenda batekin (gauza nagusia hori da. erasotzaileak ez dira haiez mozorrotzen). Bide batez, gaur egun izan daitezkeen arriskuetako bat zure zuzendaritzaren eskutitz gisa mozorrotutako phishing-eko mezuak dira, ustez urruneko lanerako arau eta prozedura berriez, urruneko ordenagailuetan instalatu behar den derrigorrezko softwareaz, etab. Eta ez ahaztu posta elektronikoaz gain, ziberkriminalak berehalako mezulariak eta sare sozialak erabil ditzaketela.
Posta- edo sentsibilizazio-programa mota honetan, koronavirusaren infekzio-mapa faltsu baten adibide klasikoa ere sar dezakezu, horren antzekoa zena. Johns Hopkins Unibertsitatea. Aldea izan zen phishing gune batera sartzean erabiltzailearen ordenagailuan malwarea instalatzen zela, erabiltzailearen kontuaren informazioa lapurtu eta ziberkriminalei bidaltzen ziena. Programa horren bertsio batek RDP konexioak ere sortu zituen biktimaren ordenagailura urruneko sarbidea izateko.
Bide batez, RDPri buruz. Erasotzaileak koronavirus pandemian aktiboago erabiltzen hasten diren beste eraso-bektore bat da. Enpresa askok, urruneko lanera pasatzen direnean, RDP bezalako zerbitzuak erabiltzen dituzte, zeinak, presagatik gaizki konfiguratuz gero, erasotzaileak urruneko erabiltzaileen ordenagailuetan nahiz korporazio-azpiegituran barneratzea eragin dezakete. Gainera, konfigurazio zuzena izanda ere, RDP inplementazio ezberdinek erasotzaileek ustiatu ditzaketen ahultasunak izan ditzakete. Adibidez, Cisco Talos ahultasun anitz FreeRDPn, eta iazko maiatzean, CVE-2019-0708 ahultasun kritiko bat aurkitu zen Microsoft Remote Desktop zerbitzuan, eta horri esker kode arbitrarioa exekutatu zen biktimaren ordenagailuan, malwarea sartzea, etab. Berari buruzko buletin bat ere banatu zen , eta, adibidez, Cisco Talos horren aurka babesteko gomendioak.
Bada koronavirusaren gaiaren ustiapenaren beste adibide bat: biktimen familiaren benetako infekzio mehatxua erreskatea bitcoinsetan ordaintzeari uko egiten badiote. Efektua areagotzeko, gutunari garrantzia emateko eta estortsiogilearen ahalguztidun sentimendua sortzeko, gutunaren testuan sartu zen biktimaren pasahitza bere kontuetako batetik, saio-hasiera eta pasahitzen datu-base publikoetatik lortua.
Goiko adibideetako batean, Osasunaren Mundu Erakundearen phishing-mezu bat erakutsi nuen. Eta hona hemen beste adibide bat non erabiltzaileei laguntza ekonomikoa eskatzen zaien COVID-19ri aurre egiteko (nahiz eta gutunaren gorputzeko goiburuan "DOHAINTZA" hitza berehala nabaritzen den). Eta laguntza eskatzen diete bitcoinen aurka babesteko. kriptomoneta jarraipena.
Eta gaur egun erabiltzaileen errukia baliatzen duten adibide asko daude:
Bitcoinak beste modu batean erlazionatuta daude COVID-19rekin. Esaterako, horrelakoa da etxean eserita dauden eta dirua irabazi ezin duten britainiar herritar askok jasotzen dituzten bidalketak (Errusian orain hori ere garrantzitsua izango da).
Egunkari eta albiste gune ezagunez maskaratuta, bidalketa hauek diru erraza eskaintzen dute kripto-monetak gune berezietan ateraz. Izan ere, denbora pixka bat igaro ondoren, irabazitako zenbatekoa kontu berezi batera eraman daitekeela dioen mezua jasotzen duzu, baina hori baino lehen zerga kopuru txiki bat transferitu behar duzu. Argi dago diru hori jaso ondoren, iruzurgileek ez dutela ezer transferitzen trukean, eta erabiltzaile sinesgabeak transferitutako dirua galtzen duela.
Osasunaren Mundu Erakundearekin lotutako beste mehatxu bat dago. Hackerrek D-Link eta Linksys bideratzaileen DNS ezarpenak pirateatu dituzte, etxeko erabiltzaileek eta enpresa txikiek askotan erabiltzen dituztenak, webgune faltsu batera birbideratzeko, OMEren aplikazioa instalatu beharrari buruzko pop-up abisu batekin, eta horrek mantenduko ditu. koronabirusari buruzko azken berriekin eguneratuta. Gainera, aplikazioak berak informazioa lapurtzen duen Oski programa gaiztoa zuen.
COVID-19 infekzioaren egungo egoera duen aplikazio batekin antzeko ideia bat Android Troiako CovidLock-ek ustiatzen du, AEBetako Hezkuntza Sailak, OMEk eta Epidemien Kontrolerako Zentroak ustez "ziurtagiria" duen aplikazio baten bidez banatzen dena ( CDC).
Gaur egun, erabiltzaile asko isolatuta daude eta, prestatzeko prest edo ezin dutelarik, modu aktiboan erabiltzen dituzte janariak, janariak edo bestelako ondasunak, hala nola komuneko papera, bidalketa zerbitzuak. Erasotzaileek bektore hori ere menperatu dute beren helburuetarako. Adibidez, hauxe da webgune maltzur baten itxura, Canada Post-en jabetzako legezko baliabide baten antzera. Biktimak jasotako SMSaren estekak, eskatutako produktua ezin dela entregatu jakinarazten duen webgune batera eramaten du, 3 dolar baino ez direlako falta, gehi ordaindu beharrekoa. Kasu honetan, erabiltzailea orri batera bideratzen da, non bere kreditu txartelaren datuak adierazi behar dituen... ondoriozko ondorio guztiekin.
Amaitzeko, COVID-19arekin lotutako zibermehatxuen beste bi adibide eman nahiko nituzke. Adibidez, "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" edo "Covid-19" pluginak WordPress motor ezaguna erabiliz webguneetan eraikitzen dira eta, gainera, hedapenaren mapa bat bistaratzen dute. koronavirusak, WP-VCD malwarea ere badu. Eta Zoom konpainiak, lineako gertaeren kopuruaren hazkuntzaren ondorioz, oso-oso ezaguna egin zena, adituek "Zoombombing" deitu zutenari aurre egin zion. Erasotzaileek, baina hain zuzen ere porno troll arruntak, sareko txatetara eta lineako bileretara konektatu ziren eta hainbat bideo lizun erakutsi zituzten. Bide batez, antzeko mehatxu bat aurkitzen dute gaur Errusiako enpresek.
Uste dut gehienok aldizka egiaztatzen ditugula hainbat baliabide, ofizialak zein ez hain ofizialak, pandemiaren egungo egoerari buruz. Erasotzaileak gai hau ustiatzen ari dira, koronavirusari buruzko "azken" informazioa eskaintzen digute, "agintariek ezkutatzen dizuten informazioa barne". Baina erabiltzaile arrunt arruntek ere erasotzaileei lagundu diete sarritan "ezagun" eta "lagunei" egiaztatutako gertaeren kodeak bidaliz. Psikologoek diotenez, euren ikusmen-eremuan sartzen den guztia bidaltzen duten erabiltzaile "alarmisten" jarduera horrek (batez ere sare sozialetan eta berehalako mezularietan, mehatxu horien aurkako babes-mekanismorik ez duten), aukera ematen die borrokan parte hartzen sentitzea. mehatxu global bat eta, are gehiago, mundua koronavirusetik salbatzen duten heroiak sentitzen dira. Baina, zoritxarrez, ezagutza berezirik ezak asmo on horiek «guztiak pikutara eramaten» izatea dakar, zibersegurtasun mehatxu berriak sortuz eta biktima kopurua handituz.
Izan ere, koronavirusarekin lotutako zibermehatxuen adibideekin jarraitu nezake; Gainera, ziberkriminalak ez dira geldirik gelditzen eta gizakien grinak ustiatzeko gero eta modu berri gehiago sortzen dituzte. Baina uste dut hor gelditu gaitezkeela. Irudia argi dago jada eta etorkizun hurbilean egoerak okerrera egingo duela esaten digu. Atzo, Moskuko agintariek auto-isolamendupean jarri zuten hamar milioi biztanleko hiria. Gauza bera egin zuten Mosku eskualdeko eta Errusiako beste hainbat eskualdeko agintariek, baita antzinako sobietar osteko espazioan gure bizilagun hurbilenek ere. Horrek esan nahi du ziberkriminalen xede diren biktima potentzialen kopurua hainbat aldiz handituko dela. Hori dela eta, merezi du zure segurtasun-estrategia berraztertzeaz gain, duela gutxi arte sare korporatibo edo departamental bat soilik babestera bideratzen zena, eta zer babes-tresna falta zaizkizun baloratzea, baizik eta zure langileen sentsibilizazio programan emandako adibideak ere kontuan hartzea, hau da. urruneko langileentzako informazio-segurtasun sistemaren zati garrantzitsu bihurtuz. A honetan laguntzeko prest!
PS. Material hau prestatzeko, Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security eta RiskIQ enpresen, AEBetako Justizia Sailaren, Bleeping Computer baliabideak, SecurityAffairs, etab.ren materialak erabili ziren.P.
Iturria: www.habr.com