Koronavirusaihe on tänään täyttänyt kaikki uutissyötteet, ja siitä on tullut myös COVID-19-aihetta ja kaikkea siihen liittyvää hyväkseen hyökkääjien erilaisten toimien pääleima. Tässä muistiinpanossa haluan kiinnittää huomiota joihinkin esimerkkeihin tällaisesta haitallisesta toiminnasta, joka ei tietenkään ole salaisuus monille tietoturva-asiantuntijoille, mutta joiden yhteenveto yhdessä huomautuksessa helpottaa oman tietoisuuden valmistelua. -valistustilaisuudet työntekijöille, joista osa työskentelee etänä ja osa on aiempaa alttiimpia erilaisille tietoturvauhkille.
Minuutti hoitoa UFOlta
Maailma on virallisesti julistanut COVID-19-pandemian, SARS-CoV-2-koronaviruksen (2019-nCoV) aiheuttaman mahdollisesti vakavan akuutin hengitystieinfektion. Habresta on paljon tietoa tästä aiheesta - muista aina, että se voi olla sekä luotettavaa/hyödyllistä että päinvastoin.
Kehotamme sinua suhtautumaan kriittisesti kaikkiin julkaistuihin tietoihin.
Viralliset lähteet
- Alueiden operatiivisten pääkonttoreiden verkkosivustot ja viralliset ryhmät
Jos et asu Venäjällä, tutustu vastaaviin sivustoihin maassasi.
Pese kätesi, huolehdi läheisistäsi, pysy kotona mahdollisuuksien mukaan ja työskentele etänä.Lue julkaisuja aiheesta: |
On huomattava, että koronavirukseen ei liity tänä päivänä täysin uusia uhkia. Pikemminkin puhumme hyökkäysvektoreista, joista on tullut jo perinteisiä ja joita käytetään yksinkertaisesti uudessa "kastikkeessa". Joten kutsuisin tärkeimpiä uhkatyyppejä:
- Koronavirukseen ja siihen liittyvään haittakoodiin liittyvät tietojenkalastelusivustot ja uutiskirjeet
- Petokset ja disinformaatio, joiden tarkoituksena on käyttää hyväkseen pelkoa tai puutteellisia tietoja COVID-19:stä
- hyökkäyksiä koronavirustutkimukseen osallistuvia organisaatioita vastaan
Venäjällä, jossa kansalaiset eivät perinteisesti luota viranomaisiin ja uskovat salaavan heiltä totuuden, todennäköisyys tietojenkalastelusivustojen ja postituslistojen sekä petollisten resurssien menestyksekkäälle "mainostamiselle" on paljon suurempi kuin maissa, joissa on avoimempi. viranomaiset. Vaikka nykyään kukaan ei voi pitää itseään täysin suojassa luovilta verkkohuijareilta, jotka käyttävät kaikkia ihmisen klassisia inhimillisiä heikkouksia - pelkoa, myötätuntoa, ahneutta jne.
Otetaan esimerkiksi lääketieteellisiä maskeja myyvä petollinen sivusto.
Yhdysvaltain viranomaiset sulkivat samankaltaisen sivuston, CoronavirusMedicalkit[.]comin, koska se jakoi olematonta COVID-19-rokottetta ilmaiseksi "vain" postikuluilla lääkkeen toimitukseen. Tässä tapauksessa niin alhaisella hinnalla laskettiin lääkkeen kiireinen kysyntä paniikkiolosuhteissa Yhdysvalloissa.
Tämä ei ole klassinen kyberuhka, sillä hyökkääjien tehtävänä tässä tapauksessa ei ole saastuttaa käyttäjiä tai varastaa heidän henkilötietojaan tai tunnistetietojaan, vaan yksinkertaisesti pelon aallolla pakottaa heidät ottamaan pois ja ostamaan lääkintänaamareita korkealla hinnalla. 5-10-30 kertaa todelliset kustannukset. Mutta myös verkkorikolliset käyttävät ideaa tehdä väärennetty koronavirusteemaa hyödyntävä verkkosivusto. Tässä on esimerkiksi sivusto, jonka nimi sisältää avainsanan "covid19", mutta joka on myös tietojenkalastelusivusto.
Yleisesti ottaen päivittäin seuraamme tapahtumatutkintapalveluamme , näet kuinka monta verkkotunnusta luodaan, joiden nimet sisältävät sanat covid, covid19, koronavirus jne. Ja monet heistä ovat haitallisia.
Ympäristössä, jossa osa yrityksen työntekijöistä siirretään töihin kotoa käsin eikä heitä ole suojattu yrityksen turvatoimilla, on entistä tärkeämpää seurata resursseja, joihin työntekijöiden mobiili- ja työpöytälaitteista tietoisesti tai ilman pääsyä päästään. tietoa. Jos et käytä palvelua havaita ja estää tällaisten verkkotunnusten (ja Cisco yhteys tähän palveluun on nyt ilmainen), määritä sitten vähintään verkkokäytön valvontaratkaisusi valvomaan verkkotunnuksia asiaankuuluvilla avainsanoilla. Muista samalla, että perinteinen lähestymistapa verkkotunnusten lisäämiseen mustalle listalle sekä mainetietokantojen käyttö voi epäonnistua, koska haitalliset verkkotunnukset luodaan erittäin nopeasti ja niitä käytetään vain 1-2 hyökkäyksessä enintään muutaman tunnin ajan - sitten hyökkääjät vaihtavat uusiin lyhytaikaisiin verkkotunnuksiin. Tietoturvayritykset eivät yksinkertaisesti ehdi päivittää tietopohjaansa nopeasti ja jakaa niitä kaikille asiakkailleen.
Hyökkääjät käyttävät edelleen aktiivisesti sähköpostikanavaa jakaakseen phishing-linkkejä ja haittaohjelmia liitteissä. Ja niiden tehokkuus on varsin korkea, koska käyttäjät, jotka saavat täysin laillisia koronavirukseen liittyviä uutispostituksia, eivät aina pysty tunnistamaan jotain haitallista niiden määrästä. Ja vaikka tartunnan saaneiden määrä vain kasvaa, myös tällaisten uhkien valikoima vain kasvaa.
Esimerkiksi tältä näyttää esimerkki tietojenkalasteluviestistä CDC:n puolesta:
Linkin seuraaminen ei tietenkään johda CDC:n verkkosivustolle, vaan väärennetylle sivulle, joka varastaa uhrin käyttäjätunnuksen ja salasanan:
Tässä on esimerkki tietojenkalasteluviestistä, jonka oletetaan olevan Maailman terveysjärjestön puolesta:
Ja tässä esimerkissä hyökkääjät luottavat siihen tosiasiaan, että monet ihmiset uskovat viranomaisten salaavan heiltä tartunnan todellisen laajuuden, ja siksi käyttäjät napsauttavat iloisesti ja melkein epäröimättä tämäntyyppisiä kirjeitä, joissa on haitallisia linkkejä tai liitteitä, jotka oletettavasti paljastaa kaikki salaisuudet.
On muuten olemassa sellainen sivusto , jonka avulla voit seurata erilaisia indikaattoreita, esimerkiksi kuolleisuutta, tupakoitsijoiden määrää, väestöä eri maissa jne. Sivustolla on myös koronavirukselle omistettu sivu. Ja kun menin siihen maaliskuun 16. päivänä, näin sivun, joka sai minut hetkeksi epäilemään, että viranomaiset kertovat meille totuuden (en tiedä, mikä syy näihin numeroihin on, ehkä vain virhe):
Yksi suosituimmista infrastruktuureista, joita hyökkääjät käyttävät samankaltaisten sähköpostien lähettämiseen, on Emotet, yksi viime aikojen vaarallisimmista ja suosituimmista uhista. Sähköpostiviesteihin liitetyt Word-asiakirjat sisältävät Emotet-latausohjelmia, jotka lataavat uusia haitallisia moduuleja uhrin tietokoneelle. Emotetia käytettiin alun perin linkkien mainostamiseen lääketieteellisiä maskeja myyville petollisille sivustoille, jotka oli kohdistettu Japanin asukkaille. Alla näet haitallisen tiedoston analysoinnin tulokset hiekkalaatikolla , joka analysoi tiedostot haitallisuuden varalta.
Mutta hyökkääjät eivät hyödynnä vain kykyä käynnistää MS Wordissa, vaan myös muissa Microsoft-sovelluksissa, esimerkiksi MS Excelissä (näin APT36-hakkeriryhmä toimi) lähettämällä Intian hallitukselta Crimsonia sisältäviä suosituksia koronaviruksen torjuntaan. ROTTA:
Toinen koronavirusteemaa hyödyntävä haitallinen kampanja on Nanocore RAT, jonka avulla voit asentaa ohjelmia uhrien tietokoneille etäkäyttöä varten, kaapata näppäimistön painalluksia, kaapata näyttökuvia, päästä käsiksi tiedostoihin jne.
Ja Nanocore RAT toimitetaan yleensä sähköpostitse. Esimerkiksi alla näet esimerkkipostiviestin, johon on liitetty ZIP-arkisto, joka sisältää suoritettavan PIF-tiedoston. Napsauttamalla suoritettavaa tiedostoa uhri asentaa etäkäyttöohjelman (Remote Access Tool, RAT) tietokoneelleen.
Tässä on toinen esimerkki COVID-19-aiheeseen liittyvästä kampanjasta. Käyttäjä saa kirjeen koronaviruksen aiheuttamasta toimitusten oletetusta viivästymisestä, jonka liitteenä on .pdf.ace-tunniste. Pakatun arkiston sisällä on suoritettavaa sisältöä, joka muodostaa yhteyden komento- ja ohjauspalvelimeen lisäkomentojen vastaanottamiseksi ja muiden hyökkääjien tavoitteiden suorittamiseksi.
Parallax RATilla on samanlainen toiminto, joka jakaa tiedostoa nimeltä "uusi tartunnan saanut CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif" ja joka asentaa haittaohjelman, joka on vuorovaikutuksessa sen komentopalvelimen kanssa DNS-protokollan kautta. EDR-luokan suojaustyökalut, joista esimerkkinä on , ja joko NGFW auttaa valvomaan viestintää komentopalvelimien kanssa (esim. ) tai DNS-valvontatyökaluja (esim. ).
Alla olevassa esimerkissä uhrin tietokoneelle asennettiin etäkäyttöhaittaohjelma, joka jostain tuntemattomasta syystä osti mainonnan, että tietokoneeseen asennettu tavallinen virustorjuntaohjelma voisi suojata todelliselta COVID-19-virukselta. Ja loppujen lopuksi joku rakastui sellaiseen näennäisesti vitsiin.
Mutta haittaohjelmien joukossa on myös todella outoja asioita. Esimerkiksi vitsitiedostot, jotka jäljittelevät kiristysohjelmien toimintaa. Yhdessä tapauksessa Cisco Talos -divisioonamme tiedosto nimeltä CoronaVirus.exe, joka esti näytön suorituksen aikana ja käynnisti ajastimen ja viestin "poistetaan kaikki tiedostot ja kansiot tällä tietokoneella - koronavirus".
Kun lähtölaskenta oli suoritettu loppuun, alhaalla oleva painike aktivoituu ja kun sitä painettiin, näyttöön ilmestyi seuraava viesti, jossa sanottiin, että tämä kaikki oli vitsi ja että sinun tulee painaa Alt+F12 lopettaaksesi ohjelman.
Haitallisten postitusten torjunta voidaan automatisoida esimerkiksi käyttämällä , jonka avulla voit havaita liitteissä olevan haitallisen sisällön lisäksi myös seurata tietojenkalastelulinkkejä ja niiden napsautuksia. Mutta tässäkään tapauksessa sinun ei pidä unohtaa käyttäjien kouluttamista ja säännöllistä tietojenkalastelu-simulaatioiden ja kyberharjoitusten suorittamista, jotka valmistavat käyttäjiä erilaisiin käyttäjiäsi vastaan suunnattuihin hyökkääjien temppuihin. Varsinkin jos he työskentelevät etänä ja henkilökohtaisen sähköpostinsa kautta, haitallinen koodi voi tunkeutua yrityksen tai osastojen verkkoon. Tässä voisin suositella uutta ratkaisua , joka mahdollistaa henkilökunnan mikro- ja nanokoulutuksen järjestämisen tietoturvakysymyksissä, mutta myös tietojenkalastelu-simulaatioiden järjestämisen heille.
Mutta jos et jostain syystä ole valmis käyttämään tällaisia ratkaisuja, kannattaa ainakin järjestää säännölliset sähköpostit työntekijöillesi, joissa on muistutus tietojenkalasteluvaarasta, sen esimerkkejä ja luettelo turvallisen toiminnan säännöistä (pääasia, että hyökkääjät eivät naamioi itseään heiksi). Muuten, yksi tämän hetken mahdollisista riskeistä on johdon kirjeiksi naamioituneet phishing-postitukset, joiden väitetään puhuvan etätyön uusista säännöistä ja menettelytavoista, pakollisista ohjelmistoista, jotka on asennettava etätietokoneisiin, jne. Älä myöskään unohda, että sähköpostin lisäksi kyberrikolliset voivat käyttää pikaviestintäpalveluita ja sosiaalisia verkostoja.
Tällaiseen postitus- tai tiedotusohjelmaan voit sisällyttää myös jo klassisen esimerkin väärennetystä koronavirustartuntakartasta, joka oli samanlainen kuin Johns Hopkinsin yliopisto. Ero oli se, että tietojenkalastelusivustolle avautuessaan käyttäjän tietokoneelle asennettiin haittaohjelma, joka varasti käyttäjätilin tiedot ja lähetti ne verkkorikollisille. Eräs tällaisen ohjelman versio loi myös RDP-yhteydet uhrin tietokoneen etäkäyttöä varten.
Muuten, RDP:stä. Tämä on toinen hyökkäysvektori, jota hyökkääjät alkavat käyttää aktiivisemmin koronaviruspandemian aikana. Monet yritykset käyttävät etätyöskentelyyn siirtyessään palveluita, kuten RDP:tä, joka, jos se on määritetty väärin kiireen vuoksi, voi johtaa hyökkääjiin tunkeutumaan sekä etäkäyttäjien tietokoneisiin että yrityksen infrastruktuuriin. Lisäksi eri RDP-toteutuksissa voi olla haavoittuvuuksia, joita hyökkääjät voivat käyttää hyväkseen, vaikka kokoonpano olisi oikea. Esimerkiksi Cisco Talos useita FreeRDP:n haavoittuvuuksia, ja viime vuoden toukokuussa Microsoft Remote Desktop -palvelusta löydettiin kriittinen haavoittuvuus CVE-2019-0708, joka mahdollisti mielivaltaisen koodin suorittamisen uhrin tietokoneella, haittaohjelmien tuomisen jne. Hänestä jaettiin jopa uutiskirje ja esimerkiksi Cisco Talos suosituksia sen estämiseksi.
On toinenkin esimerkki koronavirusteeman hyödyntämisestä - uhrin perheen todellinen tartuntauhka, jos he kieltäytyvät maksamasta lunnaita bitcoineina. Vaikutuksen tehostamiseksi, kirjaimelle merkityksen antamiseksi ja kiristäjän kaikkivaltiuden tunteen luomiseksi kirjeen tekstiin lisättiin uhrin salasana yhdestä hänen tilistään, joka saatiin julkisista kirjautumis- ja salasanatietokannoista.
Yhdessä yllä olevista esimerkeistä näytin tietojenkalasteluviestin Maailman terveysjärjestöltä. Ja tässä on toinen esimerkki, jossa käyttäjiltä pyydetään taloudellista apua COVID-19:n torjuntaan (vaikka kirjeen otsikossa näkyy heti sana "LAHJOITUS"). Ja he pyytävät apua bitcoineissa suojautuakseen sitä vastaan. kryptovaluuttojen seuranta.
Ja nykyään on monia esimerkkejä käyttäjien myötätunnon hyödyntämisestä:
Bitcoinit liittyvät COVID-19:ään toisella tavalla. Tältä näyttävät esimerkiksi monet kotona istuvat Britannian kansalaiset, jotka eivät voi ansaita rahaa, vastaanottamat postit (Venäjällä tästä tulee nyt myös merkitystä).
Nämä tunnetuiksi sanomalehdiksi ja uutissivustoiksi naamioituneet postit tarjoavat helppoa rahaa louhimalla kryptovaluuttoja erikoissivustoilla. Itse asiassa jonkin ajan kuluttua saat viestin, että ansaitsemasi summa voidaan nostaa erityistilille, mutta sinun on siirrettävä pieni määrä veroja ennen sitä. On selvää, että saatuaan tämän rahan huijarit eivät siirrä mitään vastineeksi, ja herkkäuskoinen käyttäjä menettää siirretyt rahat.
Maailman terveysjärjestöön liittyy toinenkin uhka. Hakkerit hakkeroivat kotikäyttäjien ja pienyritysten usein käyttämien D-Link- ja Linksys-reitittimien DNS-asetukset ohjatakseen heidät väärennetylle verkkosivustolle ponnahdusikkunan varoituksella WHO-sovelluksen asentamisen tarpeesta, joka säilyttää ne. ajan tasalla viimeisimmistä uutisista koronaviruksesta. Lisäksi itse sovellus sisälsi haitallisen ohjelman Oski, joka varastaa tietoja.
Samanlaista ideaa COVID-19-tartunnan tämänhetkisen tilan sisältävän sovelluksen kanssa hyödyntää Android-troijalainen CovidLock, jota jaetaan sovelluksen kautta, jonka oletetaan olevan US Department of Educationin, WHO:n ja Center for Epidemic Controlin "sertifioima" ( CDC).
Monet käyttäjät ovat nykyään eristyneinä eivätkä halua tai osaa kokata, mutta käyttävät aktiivisesti elintarvikkeiden, päivittäistavaroiden tai muiden tavaroiden, kuten wc-paperin, toimituspalveluita. Hyökkääjät ovat myös oppineet tämän vektorin omiin tarkoituksiinsa. Esimerkiksi tältä näyttää haitallinen verkkosivusto, joka on samanlainen kuin Kanada Postin omistama laillinen resurssi. Uhrin vastaanottaman tekstiviestin linkki johtaa verkkosivustolle, joka ilmoittaa, että tilattua tuotetta ei voida toimittaa, koska vain 3 dollaria puuttuu, joka on maksettava ylimääräistä. Tässä tapauksessa käyttäjä ohjataan sivulle, jossa hänen on ilmoitettava luottokorttinsa tiedot... kaikkine seurauksineen.
Lopuksi haluaisin antaa vielä kaksi esimerkkiä COVID-19:aan liittyvistä kyberuhkista. Esimerkiksi laajennukset "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" tai "Covid-19" on sisäänrakennettu sivustoille, jotka käyttävät suosittua WordPress-moottoria ja näyttävät yhdessä kartan leviämisestä. koronavirus, sisältävät myös WP-VCD-haittaohjelman. Ja Zoom-yritys, joka verkkotapahtumien määrän kasvun seurauksena tuli erittäin suosituksi, kohtasi asiantuntijoiden "Zoombombing" -pommituksen. Hyökkääjät, mutta itse asiassa tavalliset pornopeikot, liittyivät verkkokeskusteluihin ja verkkokokouksiin ja näyttivät erilaisia säädyttömiä videoita. Muuten, samanlainen uhka kohtaavat nykyään venäläiset yritykset.
Luulen, että useimmat meistä tarkistavat säännöllisesti eri resursseja, niin virallisia kuin ei niin virallisia, pandemian nykytilasta. Hyökkääjät käyttävät tätä aihetta hyväkseen ja tarjoavat meille "uusinta" tietoa koronaviruksesta, mukaan lukien tiedot, "jotka viranomaiset salaavat teiltä". Mutta tavallisetkin käyttäjät ovat viime aikoina usein auttaneet hyökkääjiä lähettämällä "tuttavien" ja "ystävien" vahvistettuja faktoja koskevia koodeja. Psykologit sanovat, että tällainen "hälyttävien" käyttäjien toiminta, jotka lähettävät kaiken, mitä heidän näkökenttään tulee (etenkin sosiaalisissa verkostoissa ja pikaviestinnässä, joilla ei ole suojamekanismeja tällaisia uhkia vastaan), antaa heille mahdollisuuden tuntea olevansa mukana taistelussa. globaali uhka ja jopa tuntea itsensä sankariksi, jotka pelastavat maailman koronavirukselta. Mutta valitettavasti erikoistiedon puute johtaa siihen, että nämä hyvät aikomukset "johtavat kaikki helvettiin", luovat uusia kyberturvauhkia ja lisäävät uhrien määrää.
Itse asiassa voisin jatkaa esimerkkejä koronavirukseen liittyvistä kyberuhkista; Lisäksi kyberrikolliset eivät pysy paikallaan ja keksivät yhä uusia tapoja hyödyntää ihmisten intohimoja. Mutta luulen, että voimme lopettaa tähän. Kuva on jo selvä ja se kertoo, että lähitulevaisuudessa tilanne vain pahenee. Moskovan viranomaiset asettivat eilen kymmenen miljoonan asukkaan kaupungin itseeristykseen. Moskovan alueen ja monien muiden Venäjän alueiden viranomaiset sekä lähimmät naapurimme entisessä Neuvostoliiton jälkeisessä tilassa tekivät samoin. Tämä tarkoittaa, että kyberrikollisten kohteeksi joutuvien mahdollisten uhrien määrä moninkertaistuu. Siksi kannattaa paitsi harkita uudelleen turvallisuusstrategiaasi, joka viime aikoihin asti keskittyi vain yrityksen tai osastoverkon suojaamiseen, ja arvioida, mitä suojaustyökaluja sinulta puuttuu, vaan myös ottaa huomioon henkilöstötietoisuusohjelmassasi annetut esimerkit, tulossa tärkeä osa etätyöntekijöiden tietoturvajärjestelmää. A valmis auttamaan sinua tässä!
PS. Tämän materiaalin valmistuksessa käytettiin Cisco Talosin, Naked Securityn, Anti-Phishingin, Malwarebytes Labin, ZoneAlarmin, Reason Security- ja RiskIQ-yhtiöiden, Yhdysvaltain oikeusministeriön, Bleeping Computerin, SecurityAffairsin jne. materiaaleja. P.
Lähde: will.com