Le sujet du coronavirus a rempli aujourd’hui tous les flux d’actualités et est également devenu le principal leitmotiv de diverses activités d’attaquants exploitant le thème du COVID-19 et tout ce qui s’y rapporte. Dans cette note, je voudrais attirer l'attention sur quelques exemples de telles activités malveillantes, qui, bien sûr, ne sont pas un secret pour de nombreux spécialistes de la sécurité de l'information, mais dont le résumé en une seule note facilitera la préparation de votre propre prise de conscience. -organiser des événements pour les employés, dont certains travaillent à distance et d'autres plus vulnérables qu'auparavant à diverses menaces pour la sécurité de l'information.
Une minute de soins d'un OVNI
Le monde a officiellement déclaré une pandémie de COVID-19, une infection respiratoire aiguë potentiellement grave causée par le coronavirus SARS-CoV-2 (2019-nCoV). Il existe de nombreuses informations sur Habré sur ce sujet - rappelez-vous toujours qu'elles peuvent être à la fois fiables/utiles et vice versa.
Nous vous encourageons à critiquer toute information publiée.
ициальные источники
- Sites Internet et groupes officiels des états-majors opérationnels en régions
Si vous ne vivez pas en Russie, veuillez vous référer aux sites similaires dans votre pays.
Lavez-vous les mains, prenez soin de vos proches, restez chez vous si possible et travaillez à distance.Lire des publications sur : |
Il convient de noter qu’il n’existe aujourd’hui aucune menace complètement nouvelle associée au coronavirus. Il s’agit plutôt de vecteurs d’attaque déjà devenus traditionnels, simplement utilisés dans une nouvelle « sauce ». J’appellerais donc les principaux types de menaces :
- sites de phishing et newsletters liés au coronavirus et aux codes malveillants associés
- Fraude et désinformation visant à exploiter la peur ou des informations incomplètes sur le COVID-19
- attaques contre des organisations impliquées dans la recherche sur les coronavirus
En Russie, où les citoyens ne font traditionnellement pas confiance aux autorités et croient qu'elles leur cachent la vérité, la probabilité de réussir à « promouvoir » des sites de phishing et des listes de diffusion, ainsi que des ressources frauduleuses, est beaucoup plus élevée que dans les pays où les autorités sont plus ouvertes. les autorités. Bien qu'aujourd'hui, personne ne puisse se considérer absolument à l'abri des cyber-escrocs créatifs qui utilisent toutes les faiblesses humaines classiques d'une personne - la peur, la compassion, la cupidité, etc.
Prenons par exemple un site frauduleux vendant des masques médicaux.
Un site similaire, CoronavirusMedicalkit[.]com, a été fermé par les autorités américaines pour avoir distribué gratuitement un vaccin COVID-19 inexistant avec « seulement » les frais de port pour expédier le médicament. Dans ce cas, avec un prix aussi bas, le calcul était basé sur la demande urgente de ce médicament dans un contexte de panique aux États-Unis.
Il ne s'agit pas d'une cybermenace classique, puisque la tâche des attaquants dans ce cas n'est pas d'infecter les utilisateurs ou de voler leurs données personnelles ou leurs informations d'identification, mais simplement de les forcer à débourser et à acheter des masques médicaux à des prix gonflés sur vague de peur. de 5 à 10 à 30 fois supérieur au coût réel. Mais l’idée même de créer un faux site Internet exploitant le thème du coronavirus est également utilisée par les cybercriminels. Voici par exemple un site dont le nom contient le mot-clé « covid19 », mais qui est aussi un site de phishing.
De manière générale, un suivi quotidien de notre service d'enquête sur incidents , vous voyez combien de domaines sont créés dont les noms contiennent les mots covid, covid19, coronavirus, etc. Et beaucoup d’entre eux sont malveillants.
Dans un environnement où certains employés de l'entreprise sont transférés au travail à domicile et ne sont pas protégés par des mesures de sécurité d'entreprise, il est plus important que jamais de surveiller les ressources auxquelles on accède depuis les appareils mobiles et de bureau des employés, sciemment ou sans leur connaissance. Si vous n'utilisez pas le service pour détecter et bloquer ces domaines (et Cisco la connexion à ce service est désormais gratuite), puis configurez au minimum vos solutions de surveillance des accès Web pour surveiller les domaines avec des mots-clés pertinents. Dans le même temps, n'oubliez pas que l'approche traditionnelle consistant à mettre des domaines sur liste noire, ainsi qu'à utiliser des bases de données de réputation, peut échouer, car les domaines malveillants sont créés très rapidement et ne sont utilisés que dans 1 à 2 attaques pendant quelques heures maximum - alors le les attaquants basculent vers de nouveaux domaines éphémères. Les entreprises de sécurité de l'information n'ont tout simplement pas le temps de mettre à jour rapidement leurs bases de connaissances et de les distribuer à tous leurs clients.
Les attaquants continuent d'exploiter activement le canal de messagerie pour diffuser des liens de phishing et des logiciels malveillants dans les pièces jointes. Et leur efficacité est assez élevée, car les utilisateurs, tout en recevant des e-mails d'informations tout à fait légaux sur le coronavirus, ne peuvent pas toujours reconnaître quelque chose de malveillant dans leur volume. Et même si le nombre de personnes infectées ne fait qu’augmenter, l’éventail de ces menaces ne fera que s’accroître également.
Par exemple, voici à quoi ressemble un exemple d'e-mail de phishing de la part du CDC :
Bien entendu, suivre le lien ne mène pas au site du CDC, mais à une fausse page qui vole le login et le mot de passe de la victime :
Voici un exemple d'e-mail de phishing prétendument au nom de l'Organisation mondiale de la santé :
Et dans cet exemple, les attaquants comptent sur le fait que de nombreuses personnes croient que les autorités leur cachent la véritable ampleur de l'infection, et donc les utilisateurs cliquent volontiers et presque sans hésitation sur ce type de lettres contenant des liens ou des pièces jointes malveillantes qui est censé révéler tous les secrets.
Au fait, il existe un tel site , qui permet de suivre divers indicateurs, par exemple la mortalité, le nombre de fumeurs, la population des différents pays, etc. Le site dispose également d’une page dédiée au coronavirus. Et donc quand j'y suis allé le 16 mars, j'ai vu une page qui m'a fait douter un instant que les autorités nous disaient la vérité (je ne sais pas quelle est la raison de ces chiffres, peut-être juste une erreur) :
L'une des infrastructures populaires utilisées par les attaquants pour envoyer des e-mails similaires est Emotet, l'une des menaces les plus dangereuses et les plus populaires de ces derniers temps. Les documents Word joints aux e-mails contiennent des téléchargeurs Emotet, qui chargent de nouveaux modules malveillants sur l'ordinateur de la victime. Emotet était initialement utilisé pour promouvoir des liens vers des sites frauduleux vendant des masques médicaux, ciblant les résidents du Japon. Ci-dessous vous voyez le résultat de l'analyse d'un fichier malveillant à l'aide du sandboxing , qui analyse les fichiers pour détecter toute malveillance.
Mais les attaquants exploitent non seulement la possibilité de se lancer dans MS Word, mais également dans d'autres applications Microsoft, par exemple dans MS Excel (c'est ainsi qu'a agi le groupe de hackers APT36), en envoyant des recommandations sur la lutte contre le coronavirus du gouvernement indien contenant Crimson. RAT:
Une autre campagne malveillante exploitant le thème du coronavirus est Nanocore RAT, qui permet d'installer des programmes sur les ordinateurs victimes pour un accès à distance, intercepter les frappes au clavier, capturer des images d'écran, accéder à des fichiers, etc.
Et Nanocore RAT est généralement envoyé par e-mail. Par exemple, ci-dessous, vous voyez un exemple de message électronique avec une archive ZIP jointe contenant un fichier PIF exécutable. En cliquant sur le fichier exécutable, la victime installe un programme d'accès à distance (Remote Access Tool, RAT) sur son ordinateur.
Voici un autre exemple de campagne parasitaire sur le thème du COVID-19. L'utilisateur reçoit une lettre concernant un prétendu retard de livraison dû au coronavirus avec une facture jointe avec l'extension .pdf.ace. À l'intérieur de l'archive compressée se trouve un contenu exécutable qui établit une connexion au serveur de commande et de contrôle pour recevoir des commandes supplémentaires et atteindre d'autres objectifs de l'attaquant.
Parallax RAT a une fonctionnalité similaire, qui distribue un fichier nommé « nouveau ciel CORONAVIRUS infecté 03.02.2020/XNUMX/XNUMX.pif » et qui installe un programme malveillant qui interagit avec son serveur de commandes via le protocole DNS. Outils de protection de classe EDR, dont un exemple est , et soit NGFW aidera à surveiller les communications avec les serveurs de commandes (par exemple, ), ou des outils de surveillance DNS (par exemple, ).
Dans l’exemple ci-dessous, un logiciel malveillant d’accès à distance a été installé sur l’ordinateur d’une victime qui, pour une raison inconnue, a adhéré à une publicité selon laquelle un programme antivirus classique installé sur un PC pourrait protéger contre le véritable COVID-19. Et après tout, quelqu’un est tombé dans le piège d’une telle blague.
Mais parmi les malwares, il y a aussi des choses vraiment étranges. Par exemple, des fichiers blagues qui imitent le travail d'un ransomware. Dans un cas, notre division Cisco Talos un fichier nommé CoronaVirus.exe, qui bloquait l'écran pendant l'exécution et démarrait un minuteur et le message "suppression de tous les fichiers et dossiers sur cet ordinateur - coronavirus".
À la fin du compte à rebours, le bouton en bas est devenu actif et lorsqu'il est enfoncé, le message suivant s'affiche, indiquant que tout cela n'est qu'une blague et que vous devez appuyer sur Alt+F12 pour terminer le programme.
La lutte contre les mailings malveillants peut être automatisée, par exemple grâce à , qui vous permet non seulement de détecter le contenu malveillant dans les pièces jointes, mais également de suivre les liens de phishing et les clics dessus. Mais même dans ce cas, n'oubliez pas de former les utilisateurs et d'effectuer régulièrement des simulations de phishing et des cyber-exercices, qui prépareront les utilisateurs à diverses astuces des attaquants visant vos utilisateurs. Surtout s'ils travaillent à distance et via leur messagerie personnelle, un code malveillant peut pénétrer dans le réseau de l'entreprise ou du service. Ici, je pourrais recommander une nouvelle solution , qui permet non seulement de réaliser des micro et nano-formations du personnel sur les questions de sécurité de l'information, mais également d'organiser pour eux des simulations de phishing.
Mais si pour une raison quelconque vous n'êtes pas prêt à utiliser de telles solutions, cela vaut au moins la peine d'organiser des mailings réguliers à vos employés avec un rappel du danger du phishing, ses exemples et une liste de règles de comportement sécuritaire (l'essentiel est que les agresseurs ne se déguisent pas en eux). Soit dit en passant, l'un des risques possibles à l'heure actuelle est celui des mailings de phishing se faisant passer pour des lettres de votre direction, qui parleraient prétendument de nouvelles règles et procédures pour le travail à distance, de logiciels obligatoires qui doivent être installés sur les ordinateurs distants, etc. Et n’oubliez pas qu’en plus du courrier électronique, les cybercriminels peuvent utiliser la messagerie instantanée et les réseaux sociaux.
Dans ce genre de mailing ou de programme de sensibilisation, vous pouvez également inclure l'exemple déjà classique d'une fausse carte d'infection au coronavirus, qui était similaire à celle Université Johns Hopkins. Différence était que lors de l’accès à un site de phishing, un logiciel malveillant était installé sur l’ordinateur de l’utilisateur, qui volait les informations du compte utilisateur et les envoyait aux cybercriminels. Une version d’un tel programme créait également des connexions RDP pour un accès à distance à l’ordinateur de la victime.
Au fait, à propos de RDP. Il s’agit d’un autre vecteur d’attaque que les attaquants commencent à utiliser plus activement pendant la pandémie de coronavirus. De nombreuses entreprises, lorsqu'elles passent au travail à distance, utilisent des services tels que RDP qui, s'ils sont mal configurés en raison de la précipitation, peuvent conduire des attaquants à s'infiltrer à la fois dans les ordinateurs des utilisateurs distants et dans l'infrastructure de l'entreprise. De plus, même avec une configuration correcte, diverses implémentations RDP peuvent présenter des vulnérabilités qui peuvent être exploitées par des attaquants. Par exemple, Cisco Talos plusieurs vulnérabilités dans FreeRDP, et en mai de l'année dernière, une vulnérabilité critique CVE-2019-0708 a été découverte dans le service Microsoft Remote Desktop, qui permettait l'exécution de code arbitraire sur l'ordinateur de la victime, l'introduction de logiciels malveillants, etc. Une newsletter à son sujet a même été distribuée , et, par exemple, Cisco Talos recommandations pour s’en protéger.
Il existe un autre exemple d’exploitation du thème du coronavirus : la menace réelle d’infection de la famille de la victime si elle refuse de payer la rançon en bitcoins. Pour renforcer l’effet, donner du sens à la lettre et créer un sentiment de toute-puissance de l’extorsionniste, le mot de passe de la victime de l’un de ses comptes, obtenu à partir de bases de données publiques d’identifiants et de mots de passe, a été inséré dans le texte de la lettre.
Dans l'un des exemples ci-dessus, j'ai montré un message de phishing de l'Organisation mondiale de la santé. Et voici un autre exemple dans lequel les utilisateurs se voient demander une aide financière pour lutter contre le COVID-19 (bien que dans l’en-tête du corps de la lettre, le mot « DONATION » soit immédiatement perceptible). Et ils demandent de l’aide en bitcoins pour se protéger contre suivi des crypto-monnaies.
Et aujourd’hui, il existe de nombreux exemples exploitant la compassion des utilisateurs :
Les Bitcoins sont liés au COVID-19 d’une autre manière. Par exemple, voici à quoi ressemblent les courriers reçus par de nombreux citoyens britanniques qui restent chez eux et ne peuvent pas gagner d'argent (en Russie, cela deviendra également pertinent).
Se faisant passer pour des journaux et des sites d'information bien connus, ces mailings offrent de l'argent facile en exploitant des crypto-monnaies sur des sites spéciaux. En fait, après un certain temps, vous recevez un message indiquant que le montant que vous avez gagné peut être retiré sur un compte spécial, mais vous devez auparavant transférer un petit montant d'impôts. Il est clair qu'après avoir reçu cet argent, les escrocs ne transfèrent rien en retour et l'utilisateur crédule perd l'argent transféré.
Il existe une autre menace associée à l’Organisation mondiale de la santé. Des pirates ont piraté les paramètres DNS des routeurs D-Link et Linksys, souvent utilisés par les particuliers et les petites entreprises, afin de les rediriger vers un faux site Web avec un avertissement contextuel indiquant la nécessité d'installer l'application de l'OMS, qui les conservera. au courant des dernières nouvelles concernant le coronavirus. De plus, l'application elle-même contenait le programme malveillant Oski, qui vole des informations.
Une idée similaire avec une application contenant l'état actuel de l'infection au COVID-19 est exploitée par le cheval de Troie Android CovidLock, qui est distribué via une application censée être « certifiée » par le ministère américain de l'Éducation, l'OMS et le Center for Epidemic Control ( CDC).
De nos jours, de nombreux utilisateurs sont isolés et, ne voulant pas ou ne pouvant pas cuisiner, utilisent activement les services de livraison de nourriture, de produits d'épicerie ou d'autres biens, tels que du papier toilette. Les attaquants ont également maîtrisé ce vecteur à leurs propres fins. Par exemple, voici à quoi ressemble un site Web malveillant, semblable à une ressource légitime appartenant à Postes Canada. Le lien du SMS reçu par la victime mène vers un site Internet qui signale que le produit commandé ne peut pas être livré car il ne manque que 3 $, qui doivent être payés en supplément. Dans ce cas, l'utilisateur est dirigé vers une page où il doit indiquer les coordonnées de sa carte bancaire... avec toutes les conséquences qui en découlent.
En conclusion, je voudrais donner deux autres exemples de cybermenaces liées au COVID-19. Par exemple, les plugins « COVID-19 Coronavirus - Live Map WordPress Plugin », « Coronavirus Spread Prediction Graphs » ou « Covid-19 » sont intégrés aux sites utilisant le moteur WordPress populaire et, en plus d'afficher une carte de la propagation du coronavirus, contiennent également le malware WP-VCD. Et la société Zoom, qui, à la suite de la multiplication des événements en ligne, est devenue très, très populaire, a été confrontée à ce que les experts ont appelé le « Zoombombing ». Les attaquants, qui sont en fait de simples trolls pornographiques, se sont connectés à des chats et à des réunions en ligne et ont montré diverses vidéos obscènes. Soit dit en passant, les entreprises russes sont aujourd’hui confrontées à une menace similaire.
Je pense que la plupart d’entre nous consultent régulièrement diverses ressources, officielles et moins officielles, sur l’état actuel de la pandémie. Les attaquants exploitent ce sujet en nous offrant les « dernières » informations sur le coronavirus, y compris des informations « que les autorités vous cachent ». Mais même les utilisateurs ordinaires ont récemment aidé les attaquants en envoyant des codes de faits vérifiés provenant de « connaissances » et d'« amis ». Les psychologues disent qu'une telle activité des utilisateurs « alarmistes » qui envoient tout ce qui passe dans leur champ de vision (en particulier dans les réseaux sociaux et les messageries instantanées, qui ne disposent pas de mécanismes de protection contre de telles menaces), leur permet de se sentir impliqués dans la lutte contre une menace mondiale et se sentent même comme des héros sauvant le monde du coronavirus. Mais malheureusement, le manque de connaissances particulières conduit au fait que ces bonnes intentions « conduisent tout le monde en enfer », créant de nouvelles menaces pour la cybersécurité et augmentant le nombre de victimes.
En fait, je pourrais continuer avec des exemples de cybermenaces liées au coronavirus ; De plus, les cybercriminels ne restent pas immobiles et inventent de plus en plus de nouvelles façons d'exploiter les passions humaines. Mais je pense qu'on peut s'arrêter là. Le tableau est déjà clair et nous indique que dans un avenir proche, la situation ne fera qu’empirer. Hier, les autorités de Moscou ont placé la ville de dix millions d’habitants en isolement. Les autorités de la région de Moscou et de nombreuses autres régions de Russie, ainsi que nos plus proches voisins de l’ancien espace post-soviétique, ont fait de même. Cela signifie que le nombre de victimes potentielles ciblées par les cybercriminels va augmenter considérablement. Par conséquent, il vaut la peine non seulement de reconsidérer votre stratégie de sécurité, qui jusqu'à récemment était axée sur la protection uniquement d'un réseau d'entreprise ou de service, et d'évaluer les outils de protection qui vous manquent, mais également de prendre en compte les exemples donnés dans votre programme de sensibilisation du personnel, qui est devenir un élément important du système de sécurité de l’information pour les travailleurs à distance. UN prêt à vous aider avec ça !
PS. Lors de la préparation de ce matériel, des documents des sociétés Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security et RiskIQ, du ministère américain de la Justice, des ressources Bleeping Computer, SecurityAffairs, etc. ont été utilisés.
Source: habr.com