It ûnderwerp fan hjoeddedei coronavirus hat alle nijsfeeds fol, en is ek it wichtichste leitmotyf wurden foar ferskate aktiviteiten fan oanfallers dy't it ûnderwerp fan COVID-19 en alles dat dêrmei ferbûn binne, brûke. Yn dizze notysje wol ik omtinken jaan oan guon foarbylden fan sa'n kweade aktiviteit, dy't fansels gjin geheim is foar in protte spesjalisten foar ynformaasjefeiligens, mar de gearfetting wêrfan yn ien notysje it makliker meitsje sil om jo eigen bewustwêzen te meitsjen -ferheging fan eveneminten foar meiwurkers, guon fan wa wurkje op ôfstân en oaren mear gefoelich foar ferskate ynformaasje feiligens bedrigings dan foarhinne.
In minút fan soarch fan in UFO
De wrâld hat offisjeel in pandemy ferklearre fan COVID-19, in potinsjeel slimme akute respiratoire ynfeksje feroarsake troch it SARS-CoV-2 coronavirus (2019-nCoV). D'r is in protte ynformaasje oer Habré oer dit ûnderwerp - tink altyd dat it sawol betrouber/nuttich kin wêze en oarsom.
Wy moedigje jo oan om kritysk te wêzen oer alle publisearre ynformaasje.
Offisjele boarnen
- Websites en offisjele groepen fan operasjoneel haadkantoar yn 'e regio's
As jo net yn Ruslân wenje, ferwize dan nei ferlykbere siden yn jo lân.
Waskje jo hannen, soargje foar jo leafsten, bliuw thús as it kin en wurkje op ôfstân.Lês publikaasjes oer: |
It moat opmurken wurde dat d'r hjoed gjin folslein nije bedrigingen binne ferbûn mei coronavirus. Earder hawwe wy it oer oanfalfektoren dy't al tradisjoneel wurden binne, gewoan brûkt yn in nije "saus." Dat, ik soe de wichtichste soarten bedrigingen neame:
- phishing-sites en nijsbrieven relatearre oan coronavirus en relatearre kweade koade
- Fraude en desinformaasje rjochte op it eksploitearjen fan eangst of ûnfolsleine ynformaasje oer COVID-19
- oanfallen tsjin organisaasjes belutsen by ûndersyk nei coronavirus
Yn Ruslân, wêr't boargers tradisjoneel de autoriteiten net fertrouwe en leauwe dat se de wierheid foar har ferbergje, is de kâns op suksesfolle "promoasje" fan phishing-siden en mailinglisten, lykas frauduleuze boarnen, folle heger dan yn lannen mei mear iepen hegerhân. Hoewol hjoed gjinien harsels absolút beskerme kin beskôgje fan kreative cyberfraudeurs dy't alle klassike minsklike swakkens fan in persoan brûke - eangst, meilijen, habsucht, ensfh.
Nim bygelyks in frauduleuze side dy't medyske maskers ferkeapet.
In ferlykbere side, CoronavirusMedicalkit[.]com, waard ôfsluten troch Amerikaanske autoriteiten foar it fersprieden fan in net-besteand COVID-19-faksin fergees mei "allinich" porto om it medisyn te ferstjoeren. Yn dit gefal, mei sa'n lege priis, wie de berekkening foar de rush fraach nei de medisinen yn betingsten fan panyk yn 'e Feriene Steaten.
Dit is gjin klassike cyberbedriging, om't de taak fan oanfallers yn dit gefal net is om brûkers te ynfektearjen of har persoanlike gegevens of identifikaasje-ynformaasje te stellen, mar gewoan op 'e weach fan eangst om se te twingen om medyske maskers te keapjen tsjin hege prizen troch 5-10-30 kear boppe de werklike kosten. Mar it idee fan it meitsjen fan in falske webside dy't it tema fan coronavirus eksploitearret, wurdt ek brûkt troch cyberkriminelen. Hjir is bygelyks in side wêrfan de namme it kaaiwurd "covid19" befettet, mar dy't ek in phishing-side is.
Yn it algemien, deistich tafersjoch op ús tsjinst foar ynsidintûndersyk , sjogge jo hoefolle domeinen wurde makke wêrfan de nammen de wurden covid, covid19, coronavirus, ensfh. En in protte fan harren binne kwea-aardich.
Yn in omjouwing wêryn guon fan 'e wurknimmers fan it bedriuw wurde oerbrocht nei hûs te wurkjen en se net wurde beskerme troch bedriuwsfeiligensmaatregels, is it wichtiger dan ea om de boarnen te kontrolearjen dy't tagonklik binne fan' e mobile en buroblêdapparaten fan meiwurkers, bewust of sûnder har kennis. As jo de tsjinst net brûke om sokke domeinen te detektearjen en te blokkearjen (en Cisco ferbining mei dizze tsjinst is no fergees), konfigurearje dan op syn minst jo monitoaringsoplossingen foar webtagong om domeinen te kontrolearjen mei relevante kaaiwurden. Tagelyk, tink derom dat de tradisjonele oanpak foar it swartlistjen fan domeinen, lykas it brûken fan reputaasjedatabases, kin mislearje, om't kweade domeinen heul fluch wurde makke en wurde brûkt yn mar 1-2 oanfallen foar net langer dan in pear oeren - dan oanfallers wikselje nei nije efemere domeinen. Bedriuwen foar ynformaasjefeiligens hawwe gewoan gjin tiid om har kennisbases fluch te aktualisearjen en te fersprieden oan al har kliïnten.
Oanfallers bliuwe it e-postkanaal aktyf eksploitearje om phishing-keppelings en malware yn taheaksels te fersprieden. En har effektiviteit is frij heech, om't brûkers, wylst se folslein juridyske nijsmailings oer coronavirus ûntfange, net altyd wat kwea-aardich yn har folume kinne erkenne. En wylst it tal besmette minsken allinnich mar groeit, sil it oanbod fan sokke bedrigings ek mar groeie.
Dit is bygelyks hoe in foarbyld fan in phishing-e-post út namme fan 'e CDC derút sjocht:
It folgjen fan de keppeling liedt fansels net nei de CDC-webside, mar nei in falske side dy't de oanmelding en wachtwurd fan it slachtoffer stealet:
Hjir is in foarbyld fan in phishing-e-post nei alle gedachten út namme fan 'e Wrâldsûnensorganisaasje:
En yn dit foarbyld rekkenje de oanfallers op it feit dat in protte minsken leauwe dat de autoriteiten de wiere skaal fan 'e ynfeksje foar har ferbergje, en dêrom klikke brûkers lokkich en hast sûnder wifkjen op dizze soarten brieven mei kweade keppelings of taheaksels dy't nei alle gedachten sil reveal alle geheimen.
Trouwens, der is sa'n side , wêrmei jo ferskate yndikatoaren kinne folgje, bygelyks mortaliteit, it oantal smokers, befolking yn ferskate lannen, ensfh. De webside hat ek in side wijd oan it coronavirus. En sa doe't ik der op 16 maart nei gie, seach ik in side dy't my in momint twifele dat de autoriteiten ús de wierheid fertelle (ik wit net wat de reden foar dizze sifers is, miskien gewoan in flater):
Ien fan 'e populêre ynfrastruktueren dy't oanfallers brûke om ferlykbere e-mails te ferstjoeren is Emotet, ien fan' e gefaarlikste en populêrste bedrigingen fan 'e lêste tiid. Word-dokuminten taheakke oan e-postberjochten befetsje Emotet-downloaders, dy't nije kweade modules lade op 'e kompjûter fan it slachtoffer. Emotet waard yn earste ynstânsje brûkt om keppelings te befoarderjen nei frauduleuze websiden dy't medyske maskers ferkeapje, rjochte op ynwenners fan Japan. Hjirûnder sjogge jo it resultaat fan it analysearjen fan in kwea-aardich bestân mei sandboxing , dy't bestannen analysearret op kwea-aardigens.
Mar oanfallers brûke net allinich de mooglikheid om te lansearjen yn MS Word, mar ek yn oare Microsoft-applikaasjes, bygelyks yn MS Excel (dit is hoe't de APT36-hackergroep hannele), en stjoere oanbefellings út oer it bestriden fan coronavirus fan 'e regearing fan Yndia mei Crimson RÔT:
In oare kweade kampanje dy't it tema fan coronavirus eksploitearret is Nanocore RAT, wêrmei jo programma's kinne ynstallearje op slachtofferkompjûters foar tagong op ôfstân, toetseboerdoanslagen ûnderskeppe, skermôfbyldings opnimme, tagong krije ta bestannen, ensfh.
En Nanocore RAT wurdt normaal levere troch e-post. Hjirûnder sjogge jo bygelyks in foarbyld e-postberjocht mei in taheakke ZIP-argyf dat in útfierber PIF-bestân befettet. Troch op it útfierbere bestân te klikken, ynstalleart it slachtoffer in programma foar tagong op ôfstân (Remote Access Tool, RAT) op syn kompjûter.
Hjir is in oar foarbyld fan in parasitêre kampanje oer it ûnderwerp fan COVID-19. De brûker krijt in brief oer in sabeare leveringsvertraging troch it coronavirus mei in taheakke faktuer mei de tafoeging .pdf.ace. Binnen it komprimearre argyf is útfierbere ynhâld dy't in ferbining makket mei de kommando- en kontrôletsjinner om ekstra kommando's te ûntfangen en oare oanfallerdoelen út te fieren.
Parallax RAT hat ferlykbere funksjonaliteit, dy't in bestân mei de namme "nije ynfekteare CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif" ferspriedt en dat in kwea-aardich programma ynstalleart dat ynteraksje mei syn kommando-tsjinner fia it DNS-protokol. EDR klasse beskerming ark, in foarbyld dêrfan is , en NGFW sil helpe by it kontrolearjen fan kommunikaasje mei kommando-tsjinners (bygelyks, ), of DNS-monitoring-ark (bygelyks, ).
Yn it foarbyld hjirûnder waard malware op ôfstân ynstalleare op 'e kompjûter fan in slachtoffer dy't, om ien of oare ûnbekende reden, kocht yn advertinsjes dat in gewoan antivirusprogramma ynstalleare op in PC koe beskermje tsjin echte COVID-19. En ommers, ien foel foar sa'n skynber grap.
Mar ûnder malware binne d'r ek wat echt frjemde dingen. Bygelyks grapbestannen dy't it wurk fan ransomware emulearje. Yn ien gefal, ús Cisco Talos divyzje in bestân mei de namme CoronaVirus.exe, dat it skerm blokkearre tidens útfiering en in timer begon en it berjocht "alle bestannen en mappen op dizze kompjûter wiskje - coronavirus."
Nei it foltôgjen fan it ôftellen waard de knop ûnderoan aktyf en by it yndrukken waard it folgjende berjocht werjûn, dat sei dat dit allegear in grap wie en dat jo Alt+F12 moatte drukke om it programma te beëinigjen.
De striid tsjin kweade mailings kin automatisearre wurde, bygelyks mei , wêrtroch jo net allinich kweade ynhâld yn taheaksels kinne ûntdekke, mar ek phishing-keppelings folgje en klikke op har. Mar sels yn dit gefal moatte jo net ferjitte oer it oplieden fan brûkers en it regelmjittich útfieren fan phishing-simulaasjes en cyber-oefeningen, dy't brûkers sille tariede op ferskate trúkjes fan oanfallers dy't rjochte binne tsjin jo brûkers. Benammen as se op ôfstân en fia har persoanlike e-post wurkje, kin kweade koade yn it bedriuws- as ôfdielingsnetwurk penetrearje. Hjir ik koe riede in nije oplossing , wêrtroch't net allinich mikro- en nano-training fan personiel op ynformaasjefeiligensproblemen kin útfiere, mar ek phishing-simulaasjes foar har organisearje.
Mar as jo om ien of oare reden net ree binne om sokke oplossingen te brûken, dan is it de muoite wurdich om op syn minst regelmjittige mailings oan jo meiwurkers te organisearjen mei in herinnering oan it phishinggefaar, har foarbylden en in list mei regels foar feilich gedrach (it wichtichste is dat oanfallers ferklaaie har net as har). Trouwens, ien fan 'e mooglike risiko's op it stuit is phishing-mailings dy't maskere as brieven fan jo behear, dy't nei alle gedachten prate oer nije regels en prosedueres foar wurk op ôfstân, ferplichte software dy't moat wurde ynstalleare op kompjûters op ôfstân, ensfh. En ferjit net dat njonken e-post cyberkriminelen instant messengers en sosjale netwurken kinne brûke.
Yn dit soarte fan mailing- of bewustwêzensprogramma kinne jo ek it al klassike foarbyld opnimme fan in falske kaart fan coronavirus-ynfeksje, dy't gelyk wie oan dy Johns Hopkins University. Ferskil wie dat doe't tagong ta in phishing site, malware waard ynstallearre op de brûker syn kompjûter, dy't stiel brûkersaccount ynformaasje en stjoerde it nei cyberkriminelen. Ien ferzje fan sa'n programma makke ek RDP-ferbiningen foar tagong op ôfstân nei de kompjûter fan it slachtoffer.
Trouwens, oer RDP. Dit is in oare oanfalsvektor dy't oanfallers mear aktyf begjinne te brûken tidens de pandemy fan coronavirus. In protte bedriuwen, by it wikseljen nei wurk op ôfstân, brûke tsjinsten lykas RDP, dy't, as ferkeard konfigureare fanwegen haast, kinne liede ta oanfallers dy't sawol kompjûters op ôfstân brûke as binnen de bedriuwsinfrastruktuer. Boppedat kinne, sels mei juste konfiguraasje, ferskate RDP-ymplemintaasjes kwetsberens hawwe dy't kinne wurde eksploitearre troch oanfallers. Bygelyks, Cisco Talos meardere kwetsberens yn FreeRDP, en yn maaie ferline jier waard in krityske kwetsberens CVE-2019-0708 ûntdutsen yn 'e Microsoft Remote Desktop-tsjinst, wêrtroch willekeurige koade kin wurde útfierd op' e kompjûter fan it slachtoffer, malware yntrodusearre, ensfh. Der waard sels in nijsbrief oer har ferspraat , en bygelyks Cisco Talos oanbefellings foar beskerming tsjin it.
D'r is in oar foarbyld fan 'e eksploitaasje fan it tema fan coronavirus - de echte bedriging fan ynfeksje fan' e famylje fan it slachtoffer as se wegerje it losjild te beteljen yn bitcoins. Om it effekt te ferbetterjen, de brief betsjutting te jaan en in gefoel fan almacht fan 'e extortionist te meitsjen, waard it wachtwurd fan it slachtoffer fan ien fan syn akkounts, krigen fan iepenbiere databases fan logins en wachtwurden, yn' e tekst fan 'e brief ynfoege.
Yn ien fan 'e foarbylden hjirboppe liet ik in phishing-berjocht sjen fan 'e Wrâldsûnensorganisaasje. En hjir is in oar foarbyld wêryn brûkers wurde frege om finansjele help om COVID-19 te bestriden (hoewol yn 'e koptekst yn' e lichem fan 'e brief is it wurd "DONATIONTION" fuortendaliks opfallend). En se freegje om help yn bitcoins om te beskermjen tsjin cryptocurrency tracking.
En hjoed binne d'r in protte sokke foarbylden dy't it meilibjen fan brûkers brûke:
Bitcoins binne op in oare manier relatearre oan COVID-19. Sa sjogge bygelyks de mailings dy't in protte Britske boargers krije dy't thús sitte en gjin jild fertsjinje kinne (yn Ruslân sil dat no ek relevant wurde).
Masquerading as bekende kranten en nijssites, dizze mailings biede maklik jild troch myn cryptocurrencies op spesjale siden. Yn feite, nei in skoft, jo krije in berjocht dat it bedrach dat jo hawwe fertsjinne kin ynlutsen wurde op in spesjale akkount, mar jo moatte oermeitsje in lyts bedrach fan belesting foar dat. It is dúdlik dat nei ûntfangst fan dit jild, de oplichters net oerdrage neat yn ruil, en de gullible brûker ferliest it oerdroegen jild.
D'r is in oare bedriging ferbûn mei de Wrâldsûnensorganisaasje. Hackers hackten de DNS-ynstellingen fan D-Link- en Linksys-routers, faak brûkt troch thúsbrûkers en lytse bedriuwen, om se troch te lieden nei in falske webside mei in pop-up warskôging oer de needsaak om de WHO-app te ynstallearjen, dy't se hâlde sil. op 'e hichte mei it lêste nijs oer it coronavirus. Boppedat befette de applikaasje sels it kweade programma Oski, dat ynformaasje steals.
In ferlykber idee mei in applikaasje dy't de hjoeddeistige status fan COVID-19-ynfeksje befettet wurdt eksploitearre troch de Android Trojan CovidLock, dy't wurdt ferspraat fia in applikaasje dy't sabeare "sertifisearre" is troch it Amerikaanske ministearje fan Underwiis, WHO en it Center for Epidemic Control ( GGD).
In protte brûkers binne hjoed-de-dei yn selsisolaasje en, net wolle of net kinne koken, brûke aktyf leveringstsjinsten foar iten, boadskippen of oare guod, lykas húskepapier. Oanfallers hawwe dizze fektor ek behearske foar har eigen doelen. Dit is bygelyks hoe't in kweade webside derút sjocht, fergelykber mei in legitime boarne eigendom fan Canada Post. De kepling fan 'e SMS ûntfongen troch it slachtoffer liedt nei in webside dy't rapportearret dat it bestelde produkt net levere wurde kin, om't allinich $ 3 ûntbrekt, dy't ekstra betelle wurde moat. Yn dit gefal wurdt de brûker trochwiisd nei in side dêr't hy de details fan syn kredytkaart oanjaan moat ... mei alle gefolgen dy't derop komme.
Ta beslút wol ik noch twa foarbylden jaan fan cyberbedrigingen yn ferbân mei COVID-19. Bygelyks, de plugins "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" of "Covid-19" binne ynboud yn siden mei de populêre WordPress-motor en, tegearre mei it werjaan fan in kaart fan 'e fersprieding fan' e coronavirus, befetsje ek de WP-VCD malware. En it bedriuw Zoom, dat, yn 'e rin fan' e groei fan it oantal online eveneminten, heul, heul populêr waard, waard konfrontearre mei wat saakkundigen "Zoombombing" neamden. De oanfallers, mar yn feite gewoane porno-trollen, ferbûnen mei online chats en online gearkomsten en lieten ferskate obsene fideo's sjen. Trouwens, in ferlykbere bedriging wurdt hjoed tsjinkaam troch Russyske bedriuwen.
Ik tink dat de measten fan ús geregeldwei ferskate boarnen kontrolearje, sawol offisjele as net sa offisjele, oer de hjoeddeistige status fan 'e pandemy. Oanfallers brûke dit ûnderwerp, en biede ús de "lêste" ynformaasje oer it coronavirus, ynklusyf ynformaasje "dat de autoriteiten foar jo ferbergje." Mar sels gewoane gewoane brûkers hawwe koartlyn faak holpen oanfallers troch it stjoeren fan koades fan ferifiearre feiten fan "bekenden" en "freonen." Psychologen sizze dat sa'n aktiviteit fan "alarmistyske" brûkers dy't alles stjoere dat yn har fyzjefjild komt (benammen yn sosjale netwurken en instant messengers, dy't gjin beskermingsmeganismen hawwe tsjin sokke bedrigingen), lit har fiele belutsen by de striid tsjin in wrâldwide bedriging en fiele sels as helden dy't de wrâld rêde fan coronavirus. Mar, spitigernôch, liedt it gebrek oan spesjale kennis ta it feit dat dizze goede bedoelingen "elkenien nei de hel liede", it meitsjen fan nije bedrigingen foar cybersecurity en it útwreidzjen fan it oantal slachtoffers.
Eins koe ik trochgean mei foarbylden fan cyberbedrigingen yn ferbân mei coronavirus; Boppedat steane cyberkriminelen net stil en komme se mei hieltyd mear nije manieren om minsklike passys te eksploitearjen. Mar ik tink dat wy dêr ophâlde kinne. It byld is al dúdlik en it seit ús dat de situaasje yn de kommende tiid allinnich mar slimmer wurdt. Juster hawwe Moskouske autoriteiten de stêd fan tsien miljoen minsken ûnder selsisolaasje pleatst. De autoriteiten fan 'e Moskouske regio en in protte oare regio's fan Ruslân, lykas ús neiste buorlju yn' e eardere post-Sovjetromte, diene itselde. Dit betsjut dat it oantal potinsjele slachtoffers dat rjochte wurdt troch cyberkriminelen in protte kearen tanimme sil. Dêrom is it wurdich net allinich jo feiligensstrategy opnij te besjen, dy't oant koartlyn rjochte wie op it beskermjen fan allinich in bedriuws- as ôfdielingsnetwurk, en beoardielje hokker beskermingsark jo misse, mar ek rekken hâldend mei de foarbylden jûn yn jo personielbewustwêzenprogramma, dat is in wichtich ûnderdiel wurde fan it systeem foar ynformaasjefeiligens foar arbeiders op ôfstân. IN ree om te helpen jo mei dizze!
PS. By it tarieden fan dit materiaal waarden materialen brûkt fan Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security en RiskIQ bedriuwen, it Amerikaanske ministearje fan Justysje, Bleeping Computer resources, SecurityAffairs, ensfh.
Boarne: www.habr.com