O tema do coronavirus hoxe encheu todas as fontes de noticias e tamén se converteu no principal leitmotiv de varias actividades dos atacantes que explotan o tema do COVID-19 e todo o relacionado con el. Nesta nota, gustaríame chamar a atención sobre algúns exemplos desta actividade maliciosa, que, por suposto, non é un segredo para moitos especialistas en seguridade da información, pero cuxo resumo nunha nota facilitará a preparación da súa propia conciencia. -Crear eventos para os empregados, algúns dos cales traballan a distancia e outros máis susceptibles a diversas ameazas de seguridade da información que antes.
Un momento de coidado dun OVNI
O mundo declarou oficialmente unha pandemia de COVID-19, unha infección respiratoria aguda potencialmente grave causada polo coronavirus SARS-CoV-2 (2019-nCoV). Hai moita información sobre Habré sobre este tema - lembre sempre que pode ser fiable/útil e viceversa.
Animámosche a ser crítico con calquera información publicada.
Fontes oficiais
- Páxinas web e grupos oficiais de sedes operativas nas comarcas
Se non vives en Rusia, consulta sitios similares no teu país.
Lava as mans, coida dos teus seres queridos, quédate na casa se é posible e traballa a distancia.Ler publicacións sobre: |
Hai que ter en conta que non hai ameazas completamente novas asociadas co coronavirus hoxe en día. Pola contra, estamos a falar de vectores de ataque que xa se converteron en tradicionais, simplemente usados nunha nova "salsa". Entón, chamaría aos principais tipos de ameazas:
- sitios de phishing e boletíns informativos relacionados co coronavirus e códigos maliciosos relacionados
- Fraude e desinformación destinados a explotar o medo ou a información incompleta sobre a COVID-19
- ataques contra organizacións implicadas na investigación do coronavirus
En Rusia, onde os cidadáns tradicionalmente non confían nas autoridades e cren que lles ocultan a verdade, a probabilidade de "promover" con éxito sitios de phishing e listas de correo, así como recursos fraudulentos, é moito maior que nos países con máis abertos. autoridades. Aínda que hoxe ninguén pode considerarse absolutamente protexido dos defraudadores cibernéticos creativos que usan todas as debilidades humanas clásicas dunha persoa: medo, compaixón, cobiza, etc.
Tomemos, por exemplo, un sitio fraudulento que vende máscaras médicas.
Un sitio similar, CoronavirusMedicalkit[.]com, foi pechado polas autoridades dos Estados Unidos por distribuír gratuitamente unha vacina contra a COVID-19 inexistente con "só" franqueo para enviar o medicamento. Neste caso, cun prezo tan baixo, o cálculo foi para a demanda precipitada do medicamento en condicións de pánico nos Estados Unidos.
Non se trata dunha ameaza cibernética clásica, xa que a tarefa dos atacantes neste caso non é infectar aos usuarios nin roubar os seus datos persoais ou información de identificación, senón simplemente sobre a onda de medo para obrigalos a desembolsar e comprar máscaras médicas a prezos inflados. en 5-10-30 veces superando o custo real. Pero a mesma idea de crear un sitio web falso que explote o tema do coronavirus tamén está a ser utilizada polos ciberdelincuentes. Por exemplo, aquí tes un sitio cuxo nome contén a palabra clave "covid19", pero que tamén é un sitio de phishing.
En xeral, seguimento diario do noso servizo de investigación de incidentes , ves cantos dominios se están creando cuxos nomes conteñan as palabras covid, covid19, coronavirus, etc. E moitos deles son maliciosos.
Nun entorno no que algúns dos empregados da empresa son trasladados ao seu traballo desde a casa e non están protexidos polas medidas de seguridade corporativas, é máis importante que nunca supervisar os recursos aos que se accede desde os dispositivos móbiles e de escritorio dos empregados, de forma consciente ou sen o seu uso. coñecemento. Se non está a usar o servizo para detectar e bloquear tales dominios (e Cisco conexión a este servizo agora é gratuíta), entón, como mínimo, configure as súas solucións de vixilancia de acceso á Web para supervisar dominios con palabras clave relevantes. Ao mesmo tempo, lembre que o enfoque tradicional para incluír dominios en listas negras, así como o uso de bases de datos de reputación, pode fallar, xa que os dominios maliciosos créanse moi rapidamente e úsanse en só 1-2 ataques durante non máis de unhas horas; os atacantes cambian a outros dominios efémeros. As empresas de seguridade da información simplemente non teñen tempo para actualizar rapidamente as súas bases de coñecemento e distribuílas a todos os seus clientes.
Os atacantes seguen explotando activamente a canle de correo electrónico para distribuír ligazóns de phishing e malware nos anexos. E a súa eficacia é bastante alta, xa que os usuarios, aínda que reciben correos de noticias completamente legais sobre o coronavirus, non sempre poden recoñecer algo malicioso no seu volume. E aínda que o número de persoas infectadas non fai máis que crecer, o rango de tales ameazas tamén crecerá.
Por exemplo, este é o exemplo dun correo electrónico de phishing en nome do CDC:
Seguir a ligazón, por suposto, non leva ao sitio web do CDC, senón a unha páxina falsa que rouba o usuario e o contrasinal da vítima:
Aquí tes un exemplo de correo electrónico de phishing supostamente en nome da Organización Mundial da Saúde:
E neste exemplo, os atacantes contan co feito de que moitas persoas cren que as autoridades lles ocultan a verdadeira escala da infección e, polo tanto, os usuarios fan clic alegremente e case sen dúbida sobre este tipo de cartas con ligazóns ou anexos maliciosos que supostamente revelará todos os segredos.
Por certo, existe un sitio así , que permite facer un seguimento de diversos indicadores, por exemplo, a mortalidade, o número de fumadores, a poboación en distintos países, etc. O sitio web tamén ten unha páxina dedicada ao coronavirus. E así, cando acudín o 16 de marzo, vin unha páxina que por un momento me fixo dubidar de que as autoridades nos dixesen a verdade (non sei cal é o motivo destes números, quizais só un erro):
Unha das infraestruturas populares que utilizan os atacantes para enviar correos electrónicos similares é Emotet, unha das ameazas máis perigosas e populares dos últimos tempos. Os documentos de Word adxuntos ás mensaxes de correo electrónico conteñen descargadores de Emotet, que cargan novos módulos maliciosos no ordenador da vítima. Inicialmente, Emotet utilizouse para promover ligazóns a sitios fraudulentos de venda de máscaras médicas, dirixidos aos residentes de Xapón. A continuación ves o resultado da análise dun ficheiro malicioso mediante sandboxing , que analiza os ficheiros en busca de malicia.
Pero os atacantes explotan non só a posibilidade de lanzarse en MS Word, senón tamén noutras aplicacións de Microsoft, por exemplo, en MS Excel (así actuou o grupo de hackers APT36), enviando recomendacións sobre a loita contra o coronavirus do Goberno da India que contén Crimson. RAT:
Outra campaña maliciosa que explota o tema do coronavirus é Nanocore RAT, que permite instalar programas nos ordenadores vítimas para o acceso remoto, interceptar golpes de teclado, capturar imaxes de pantalla, acceder a ficheiros, etc.
E Nanocore RAT adoita entregarse por correo electrónico. Por exemplo, a continuación ves unha mensaxe de correo de exemplo cun arquivo ZIP anexo que contén un ficheiro PIF executable. Ao facer clic no ficheiro executable, a vítima instala un programa de acceso remoto (Remote Access Tool, RAT) no seu ordenador.
Aquí tes outro exemplo dunha campaña parasitaria sobre o tema da COVID-19. O usuario recibe unha carta sobre un suposto atraso de entrega debido ao coronavirus cunha factura anexa coa extensión .pdf.ace. Dentro do arquivo comprimido hai contido executable que establece unha conexión co servidor de comandos e control para recibir comandos adicionais e realizar outros obxectivos do atacante.
Parallax RAT ten unha funcionalidade similar, que distribúe un ficheiro denominado "new infected CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif" e que instala un programa malicioso que interactúa co seu servidor de comandos mediante o protocolo DNS. Ferramentas de protección de clase EDR, un exemplo das cales é , e NGFW axudará a supervisar as comunicacións cos servidores de comandos (por exemplo, ), ou ferramentas de monitorización de DNS (por exemplo, ).
No seguinte exemplo, instalouse malware de acceso remoto no ordenador dunha vítima que, por algún motivo descoñecido, comprou que un programa antivirus normal instalado nun ordenador podería protexer contra o COVID-19 real. E despois de todo, alguén caeu por unha broma tan aparentemente.
Pero entre o malware tamén hai cousas realmente estrañas. Por exemplo, ficheiros de broma que emulan o traballo do ransomware. Nun caso, a nosa división de Cisco Talos un ficheiro chamado CoronaVirus.exe, que bloqueou a pantalla durante a execución e iniciou un temporizador e a mensaxe "eliminando todos os ficheiros e cartafoles deste ordenador - coronavirus".
Ao finalizar a conta atrás, o botón da parte inferior activouse e ao presionalo, mostrouse a seguinte mensaxe, dicindo que todo era unha broma e que deberías premer Alt+F12 para finalizar o programa.
A loita contra os correos maliciosos pódese automatizar, por exemplo, usando , que che permite detectar non só contido malicioso nos anexos, senón tamén rastrexar as ligazóns de phishing e os clics neles. Pero mesmo neste caso, non debe esquecerse de adestrar usuarios e realizar regularmente simulacións de phishing e exercicios cibernéticos, que prepararán aos usuarios para varios trucos de atacantes dirixidos contra os seus usuarios. Especialmente se traballan de forma remota e a través do seu correo electrónico persoal, o código malicioso pode penetrar na rede corporativa ou departamental. Aquí podería recomendar unha nova solución , que permite non só realizar micro e nanoformación do persoal en cuestións de seguridade da información, senón tamén organizar simulacións de phishing para eles.
Pero se por algún motivo non estás preparado para usar tales solucións, paga a pena polo menos organizar correos regulares aos teus empregados con un recordatorio do perigo de phishing, os seus exemplos e unha lista de regras para un comportamento seguro (o principal é que os atacantes non se disfrazan deles). Por certo, un dos posibles riscos na actualidade son os mailings de phishing disfrazados de cartas da súa xestión, que supostamente falan de novas regras e procedementos para o traballo remoto, software obrigatorio que hai que instalar nos equipos remotos, etc. E non esquezas que ademais do correo electrónico, os ciberdelincuentes poden utilizar mensaxería instantánea e redes sociais.
Neste tipo de programas de correo ou de sensibilización, tamén se pode incluír o xa clásico exemplo dun mapa falso de infección por coronavirus, que era semellante ao Universidade Johns Hopkins. Diferenza foi que ao acceder a un sitio de phishing, instalábase malware no ordenador do usuario, que roubaba a información da conta do usuario e a enviaba aos ciberdelincuentes. Unha versión deste programa tamén creou conexións RDP para o acceso remoto ao ordenador da vítima.
Por certo, sobre RDP. Este é outro vector de ataque que os atacantes comezan a utilizar de forma máis activa durante a pandemia de coronavirus. Moitas empresas, cando pasan ao traballo remoto, utilizan servizos como RDP, que, se se configuran de forma incorrecta por mor das présas, poden provocar que os atacantes se infiltren tanto nos equipos remotos dos usuarios como dentro da infraestrutura corporativa. Ademais, mesmo cunha configuración correcta, varias implementacións de RDP poden ter vulnerabilidades que poden ser explotadas polos atacantes. Por exemplo, Cisco Talos múltiples vulnerabilidades en FreeRDP e en maio do ano pasado descubriuse unha vulnerabilidade crítica CVE-2019-0708 no servizo Microsoft Remote Desktop, que permitía executar código arbitrario no ordenador da vítima, introducir malware, etc. Incluso se distribuíu un boletín sobre ela , e, por exemplo, Cisco Talos recomendacións de protección contra ela.
Hai outro exemplo da explotación do tema do coronavirus: a ameaza real de infección da familia da vítima se se negan a pagar o rescate en bitcoins. Para mellorar o efecto, para darlle significado á letra e crear unha sensación de omnipotencia do extorsionador, o contrasinal da vítima dunha das súas contas, obtido a partir de bases de datos públicas de inicios de sesión e contrasinais, foi inserido no texto da carta.
Nun dos exemplos anteriores, mostrei unha mensaxe de phishing da Organización Mundial da Saúde. E aquí tes outro exemplo no que se lles pide aos usuarios axuda económica para loitar contra o COVID-19 (aínda que na cabeceira do corpo da carta nótase inmediatamente a palabra "DOAZÓN") e piden axuda en bitcoins para protexerse contra seguimento de criptomonedas.
E hoxe hai moitos exemplos deste tipo que explotan a compaixón dos usuarios:
Os bitcoins están relacionados co COVID-19 doutro xeito. Por exemplo, así son os correos recibidos por moitos cidadáns británicos que están sentados na casa e non poden gañar cartos (en Rusia agora isto tamén será relevante).
Enmascarados como xornais e sitios de noticias coñecidos, estes correos ofrecen diñeiro fácil minando criptomoedas en sitios especiais. De feito, despois dun tempo, recibe unha mensaxe de que a cantidade que gañou pode ser retirada a unha conta especial, pero antes debe transferir unha pequena cantidade de impostos. Está claro que despois de recibir este diñeiro, os estafadores non transfiren nada a cambio e o usuario crédulo perde o diñeiro transferido.
Hai outra ameaza asociada á Organización Mundial da Saúde. Os piratas informáticos piratearon a configuración DNS dos enrutadores D-Link e Linksys, que moitas veces usan usuarios domésticos e pequenas empresas, para redirixilos a un sitio web falso cunha advertencia emerxente sobre a necesidade de instalar a aplicación da OMS, que os manterá. ao día das últimas novidades sobre o coronavirus. Ademais, a propia aplicación contiña o programa malicioso Oski, que rouba información.
Unha idea similar cunha aplicación que contén o estado actual da infección por COVID-19 é explotada polo troyano Android CovidLock, que se distribúe a través dunha aplicación supostamente "certificada" polo Departamento de Educación dos Estados Unidos, a OMS e o Centro de Control de Epidemias. CDC).
Moitos usuarios hoxe en día están illados e, sen querer ou non poder cociñar, usan activamente os servizos de entrega de alimentos, comestibles ou outros produtos, como o papel hixiénico. Os atacantes tamén dominaron este vector para os seus propios propósitos. Por exemplo, este é o aspecto dun sitio web malicioso, similar a un recurso lexítimo propiedade de Canada Post. A ligazón do SMS recibido pola vítima leva a un sitio web que informa de que o produto solicitado non se pode entregar porque só faltan 3 dólares, que hai que pagar extra. Neste caso, o usuario é dirixido a unha páxina onde debe indicar os datos da súa tarxeta de crédito... con todas as consecuencias derivadas.
Como conclusión, gustaríame dar dous exemplos máis de ameazas cibernéticas relacionadas co COVID-19. Por exemplo, os complementos "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" ou "Covid-19" están integrados en sitios usando o popular motor de WordPress e, xunto con mostrar un mapa da propagación do coronavirus, tamén conteñen o malware WP-VCD. E a empresa Zoom, que, a raíz do crecemento do número de eventos en liña, se fixo moi, moi popular, enfrontouse ao que os expertos chamaron "Zoombombing". Os atacantes, pero de feito trolls pornográficos comúns, conectáronse a chats e reunións en liña e mostraron varios vídeos obscenos. Por certo, hoxe as empresas rusas atópanse cunha ameaza similar.
Creo que a maioría de nós consultamos regularmente varios recursos, tanto oficiais como non tan oficiais, sobre o estado actual da pandemia. Os atacantes están explotando este tema, ofrecéndonos a "última" información sobre o coronavirus, incluída información "que as autoridades che ocultan". Pero incluso os usuarios comúns e comúns axudaron recentemente aos atacantes enviando códigos de feitos verificados de "coñecidos" e "amigos". Os psicólogos aseguran que esa actividade de usuarios "alarmantes" que envían todo o que entra no seu campo de visión (especialmente nas redes sociais e na mensaxería instantánea, que non contan con mecanismos de protección contra este tipo de ameazas), permítelles sentirse implicados na loita contra unha ameaza global e mesmo se senten como heroes que salvan o mundo do coronavirus. Pero, por desgraza, a falta de coñecementos especiais leva a que estas boas intencións "levan a todos ao inferno", creando novas ameazas de ciberseguridade e ampliando o número de vítimas.
De feito, podería seguir con exemplos de ameazas cibernéticas relacionadas co coronavirus; Ademais, os ciberdelincuentes non se quedan parados e veñen con máis e máis novas formas de explotar as paixóns humanas. Pero creo que podemos parar aí. O panorama xa está claro e dinos que nun futuro próximo a situación non fará máis que empeorar. Onte, as autoridades de Moscova colocaron a cidade de dez millóns de habitantes baixo autoillamento. As autoridades da rexión de Moscova e moitas outras rexións de Rusia, así como os nosos veciños máis próximos no antigo espazo post-soviético, fixeron o mesmo. Isto significa que o número de vítimas potenciais dirixidas polos ciberdelincuentes aumentará moitas veces. Por iso, convén non só reconsiderar a súa estratexia de seguridade, que ata hai pouco estaba centrada en protexer só unha rede corporativa ou departamental, e valorar que ferramentas de protección carecen, senón tamén tendo en conta os exemplos dados no seu programa de concienciación do persoal, que é converténdose nunha parte importante do sistema de seguridade da información para os traballadores remotos. A listo para axudarche con isto!
PD. Na elaboración deste material utilizáronse materiais de empresas de Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security e RiskIQ, o Departamento de Xustiza dos EUA, os recursos Bleeping Computer, SecurityAffairs, etc.
Fonte: www.habr.com