Sijè kowonaviris la jodi a te ranpli tout nouvèl, e li te vin tou prensipal leitmotiv pou divès aktivite atakè k ap eksplwate sijè COVID-19 la ak tout bagay ki konekte ak li. Nan nòt sa a, mwen ta renmen atire atansyon sou kèk egzanp aktivite move sa yo, ki, nan kou, se pa yon sekrè pou anpil espesyalis sekirite enfòmasyon, men rezime a nan ki nan yon nòt pral fè li pi fasil yo prepare pwòp konsyans ou. -Ogmante evènman pou anplwaye yo, kèk nan yo travay adistans ak lòt moun ki pi sansib a divès kalite menas sekirite enfòmasyon pase anvan.
Yon minit swen nan men yon UFO
Mond lan te deklare ofisyèlman yon pandemi COVID-19, yon enfeksyon respiratwa egi ki kapab grav ki te koze pa coronavirus SARS-CoV-2 (2019-nCoV). Gen anpil enfòmasyon sou Habré sou sijè sa a - toujou sonje ke li kapab tou de serye/itil ak vis vèrsa.
Nou ankouraje w pou w kritike nenpòt enfòmasyon ki pibliye.
Sous ofisyèl yo
- Sit wèb ak gwoup ofisyèl nan katye jeneral operasyonèl nan rejyon yo
Si w pa abite nan Larisi, tanpri al gade sit ki sanble nan peyi w.
Lave men ou, pran swen moun ou renmen yo, rete lakay ou si sa posib epi travay adistans.Li piblikasyon sou: |
Li ta dwe remake ke pa gen okenn menas konplètman nouvo ki asosye ak coronavirus jodi a. Olye de sa, nou ap pale de vektè atak ki te deja vin tradisyonèl, tou senpleman itilize nan yon nouvo "sòs." Se konsa, mwen ta rele kalite kle yo nan menas:
- sit èskrokri ak bilten ki gen rapò ak coronavirus ak kòd move ki gen rapò
- Fwod ak dezenfòmasyon ki vize pou eksplwate laperèz oswa enfòmasyon enkonplè sou COVID-19
- atak kont òganizasyon ki enplike nan rechèch coronavirus
Nan Larisi, kote sitwayen yo tradisyonèlman pa fè otorite yo konfyans epi yo kwè ke yo kache verite a nan men yo, chans pou yo "pwomouvwa" sit èskrokri ak lis adrès, osi byen ke resous fwod, se pi wo pase nan peyi ki gen plis ouvè. otorite yo. Malgre ke jodi a pesonn pa ka konsidere tèt yo absoliman pwoteje kont èskro cyber kreyatif ki sèvi ak tout feblès imen klasik nan yon moun - laperèz, konpasyon, Evaris, elatriye.
Pran, pou egzanp, yon sit fwod vann mask medikal.
Yon sit ki sanble, CoronavirusMedicalkit[.]com, te fèmen pa otorite ameriken yo pou distribye yon vaksen COVID-19 ki pa egziste gratis ak "sèlman" postal pou voye medikaman an. Nan ka sa a, ak yon pri ki ba konsa, kalkil la te pou demann lan prese pou medikaman an nan kondisyon panik nan peyi Etazini.
Sa a se pa yon menas cyber klasik, depi travay la nan atakè nan ka sa a se pa enfekte itilizatè yo oswa vòlè done pèsonèl yo oswa enfòmasyon idantifikasyon, men tou senpleman sou vag la nan pè fòse yo fouchèt soti epi achte mask medikal nan pri gonfle. pa 5-10-30 fwa depase pri aktyèl la. Men, lide a menm pou kreye yon sit entènèt fo eksplwate tèm nan coronavirus se tou ke yo te itilize pa sibèrkriminèl. Pou egzanp, isit la se yon sit ki gen non ki gen mo kle "covid19", men ki se tou yon sit èskrokri.
An jeneral, siveyans chak jou sèvis envestigasyon ensidan nou an , ou wè konbyen domèn yo ap kreye ki gen nan non mo covid, covid19, coronavirus, elatriye. Ak anpil nan yo se move.
Nan yon anviwonman kote kèk nan anplwaye konpayi yo transfere nan travay nan kay la epi yo pa pwoteje pa mezi sekirite antrepriz, li pi enpòtan pase tout tan pou kontwole resous yo ke yo jwenn aksè nan aparèy mobil ak biwo anplwaye yo, espre oswa san yo. konesans. Si w pa sèvi ak sèvis la pou detekte ak bloke domèn sa yo (ak Cisco koneksyon ak sèvis sa a se kounye a gratis), Lè sa a, nan yon minimòm konfigirasyon solisyon siveyans aksè entènèt ou a kontwole domèn ak mo kle ki enpòtan. An menm tan an, sonje ke apwòch tradisyonèl la nan lis nwa domèn, osi byen ke lè l sèvi avèk baz done repitasyon, ka echwe, paske domèn move yo kreye trè vit epi yo itilize nan sèlman 1-2 atak pou pa plis pase kèk èdtan - Lè sa a, atakè yo chanje nan nouvo domèn efemèr. Konpayi sekirite enfòmasyon yo tou senpleman pa gen tan byen vit mete ajou baz konesans yo epi distribye yo bay tout kliyan yo.
Atakè yo kontinye aktivman eksplwate chanèl imel la pou distribye lyen èskrokri ak malveyan nan atachman yo. Ak efikasite yo se byen wo, depi itilizatè yo, pandan y ap resevwa emailing nouvèl konplètman legal sou coronavirus, pa ka toujou rekonèt yon bagay move nan volim yo. Epi pandan ke kantite moun ki enfekte ap grandi sèlman, seri menas sa yo ap grandi tou.
Pou egzanp, men sa yon egzanp yon imel èskrokri sou non CDC a sanble:
Swiv lyen an, nan kou, pa mennen nan sit entènèt CDC la, men nan yon paj fo ki vòlè login ak modpas viktim nan:
Men yon egzanp yon imèl phishing swadizan sou non Òganizasyon Mondyal Lasante:
Ak nan egzanp sa a, atakè yo ap konte sou lefèt ke anpil moun kwè ke otorite yo ap kache vre echèl la nan enfeksyon an nan men yo, ak Se poutèt sa itilizatè yo san pwoblèm mwen tap ak prèske san ezitasyon klike sou sa yo kalite lèt ak lyen move oswa atachman ki sipozeman pral revele tout sekrè yo.
By wout la, gen tankou yon sit , ki pèmèt ou swiv divès kalite endikatè, pou egzanp, mòtalite, kantite fimè, popilasyon nan diferan peyi, elatriye. Sit entènèt la gen yon paj tou dedye a coronavirus. Se konsa, lè m te ale sou li le 16 mas, mwen te wè yon paj ki pou yon ti moman fè m doute ke otorite yo t ap di nou laverite (mwen pa konnen ki rezon ki fè nimewo sa yo, petèt jis yon erè):
Youn nan enfrastrikti popilè ke atakè yo itilize pou voye imèl menm jan an se Emotet, youn nan menas ki pi danjere ak popilè nan dènye tan yo. Dokiman Word ki tache ak mesaj imel yo genyen telechajman Emotet, ki chaje nouvo modil move sou òdinatè viktim nan. Emotet te okòmansman itilize pou ankouraje lyen ki mennen nan sit fwod ki vann mask medikal, vize rezidan Japon. Anba a ou wè rezilta analize yon dosye move lè l sèvi avèk sandboxing , ki analize dosye pou malveyan.
Men, atakè yo eksplwate non sèlman kapasite pou yo lanse nan MS Word, men tou nan lòt aplikasyon Microsoft, pou egzanp, nan MS Excel (sa a se ki jan gwoup la pirate APT36 te aji), voye rekòmandasyon sou konbat coronavirus soti nan Gouvènman an nan peyi Zend ki gen Crimson. RAT:
Yon lòt kanpay move k ap eksplwate tèm kowonaviris la se Nanocore RAT, ki pèmèt ou enstale pwogram sou òdinatè viktim yo pou aksè a distans, entèsepte kou klavye, kaptire imaj ekran, aksè nan dosye, elatriye.
Ak Nanocore RAT anjeneral delivre pa imel. Pou egzanp, anba a ou wè yon egzanp mesaj lapòs ak yon achiv postal ki tache ki gen yon dosye PIF ègzekutabl. Lè w klike sou dosye ègzèkutabl la, viktim nan enstale yon pwogram aksè aleka (Remote Access Tool, RAT) sou òdinatè l.
Men yon lòt egzanp yon parazit kanpay sou sijè COVID-19 la. Itilizatè a resevwa yon lèt sou yon swadizan reta livrezon akòz coronavirus ak yon fakti tache ak ekstansyon .pdf.ace. Anndan achiv la konprese se kontni ègzèkutabl ki etabli yon koneksyon ak sèvè a lòd ak kontwòl pou resevwa kòmandman adisyonèl ak fè lòt objektif atakè.
Parallax RAT gen fonksyon menm jan an, ki distribye yon dosye ki rele "nouvo syèl CORONAVIRUS ki enfekte 03.02.2020/XNUMX/XNUMX.pif" epi ki enstale yon pwogram move ki kominike avèk sèvè kòmand li atravè pwotokòl DNS la. Zouti pwoteksyon klas EDR, yon egzanp ki se , epi swa NGFW pral ede kontwole kominikasyon ak sèvè kòmand (pa egzanp, ), oswa zouti siveyans DNS (pa egzanp, ).
Nan egzanp ki anba a, yo te enstale malveyan aksè a distans sou òdinatè yon viktim ki, pou kèk rezon enkoni, te achte nan piblisite ke yon pwogram antivirus regilye enstale sou yon PC ka pwoteje kont reyèl COVID-19. Apre yo tout, yon moun te tonbe pou tankou yon blag w pèdi.
Men, pami malveyan gen tou kèk bagay vrèman etranj. Pou egzanp, dosye blag ki imite travay ransomware. Nan yon ka, divizyon Cisco Talos nou an yon fichye ki rele CoronaVirus.exe, ki te bloke ekran an pandan ekzekisyon an e ki te kòmanse yon revèy ak mesaj la "efase tout fichye ak dosye sou òdinatè sa a - coronavirus."
Lè yo fin fè dekont la, bouton an anba a te vin aktif epi lè yo peze mesaj sa a te parèt, li di ke sa a se te yon blag e ke ou ta dwe peze Alt + F12 pou fini pwogram nan.
Batay la kont move mailing ka otomatize, pou egzanp, lè l sèvi avèk , ki pèmèt ou detekte pa sèlman move kontni nan atachman, men tou, swiv lyen èskrokri ak klik sou yo. Men, menm nan ka sa a, ou pa ta dwe bliye sou fòmasyon itilizatè yo ak regilyèman fè simulation èskrokri ak egzèsis cyber, ki pral prepare itilizatè yo pou ke trik nouvèl divès kalite atakan ki vize kont itilizatè ou yo. Espesyalman si yo travay adistans ak atravè imel pèsonèl yo, kòd move ka antre nan rezo antrepriz oswa depatmantal la. Isit la mwen te kapab rekòmande yon nouvo solisyon , ki pèmèt pa sèlman fè mikwo- ak nano-fòmasyon nan pèsonèl sou pwoblèm sekirite enfòmasyon, men tou, yo òganize simulation èskrokri pou yo.
Men, si pou kèk rezon ou pa pare yo sèvi ak solisyon sa yo, Lè sa a, li vo omwen òganize poste regilye bay anplwaye ou yo ak yon rapèl sou danje a èskrokri, egzanp li yo ak yon lis règ pou konpòtman an sekirite (bagay prensipal la se ke atakè yo pa degize kòm yo). By wout la, youn nan risk yo posib kounye a se èskrokri lapòs maskaran kòm lèt ki soti nan jesyon ou a, ki swadizan pale sou nouvo règ ak pwosedi pou travay aleka, lojisyèl obligatwa ki dwe enstale sou òdinatè aleka, elatriye. Epi pa bliye ke anplis imel, sibèrkriminèl yo ka itilize mesaje enstantane ak rezo sosyal yo.
Nan kalite pwogram poste oswa konsyantizasyon sa a, ou ka enkli egzanp deja klasik yon kat fo enfeksyon coronavirus, ki te sanble ak youn nan. Inivèsite Johns Hopkins. Diferans te ke lè aksè nan yon sit èskrokri, malveyan yo te enstale sou òdinatè itilizatè a, ki te vòlè enfòmasyon kont itilizatè a epi voye li bay sibè kriminèl yo. Yon vèsyon nan yon pwogram konsa te kreye tou koneksyon RDP pou aksè aleka nan òdinatè viktim nan.
By wout la, sou RDP. Sa a se yon lòt vektè atak ke atakè yo ap kòmanse itilize pi aktivman pandan pandemi coronavirus la. Anpil konpayi, lè yo chanje nan travay aleka, sèvi ak sèvis tankou RDP, ki, si configuré mal akòz prese prese, ka mennen nan atakè enfiltre tou de òdinatè itilizatè aleka ak andedan enfrastrikti antrepriz la. Anplis, menm ak konfigirasyon kòrèk, plizyè aplikasyon RDP ka gen frajilite ki ka eksplwate pa atakè yo. Pou egzanp, Cisco Talos plizyè vilnerabilite nan FreeRDP, ak nan mwa me ane pase a, yo te dekouvri yon vilnerabilite kritik CVE-2019-0708 nan sèvis Microsoft Remote Desktop, ki te pèmèt kòd abitrè yo dwe egzekite sou òdinatè viktim nan, malveyan yo dwe prezante, elatriye. Yo te menm distribye yon bilten sou li , ak, pou egzanp, Cisco Talos rekòmandasyon pou pwoteksyon kont li.
Gen yon lòt egzanp sou eksplwatasyon tèm kowonaviris la - menas reyèl la nan enfeksyon nan fanmi viktim nan si yo refize peye ranson an nan bitcoins. Pou amelyore efè a, bay lèt la siyifikasyon ak kreye yon sans de omnipotans nan ekstòsyonist la, modpas viktim nan soti nan youn nan kont li yo, jwenn nan baz done piblik nan login ak modpas, yo te antre nan tèks la nan lèt la.
Nan youn nan egzanp ki anwo yo, mwen te montre yon mesaj èskrokri ki soti nan Òganizasyon Mondyal Lasante. Ak isit la se yon lòt egzanp kote itilizatè yo mande èd finansye pou konbat COVID-19 (byenke nan tèt la nan kò a nan lèt la, mo "DONASYON" la imedyatman aparan). Epi yo mande èd nan bitcoins pou pwoteje kont. Suivi cryptocurrency.
Ak jodi a gen anpil egzanp sa yo eksplwate konpasyon itilizatè yo:
Bitcoins yo gen rapò ak COVID-19 nan yon lòt fason. Pou egzanp, sa a se sa poste yo resevwa pa anpil sitwayen Britanik ki chita nan kay la epi yo pa ka touche lajan sanble (nan Larisi kounye a sa a pral vin enpòtan tou).
Masquerading kòm jounal byen li te ye ak sit nouvèl, poste sa yo ofri lajan fasil nan min cryptocurrencies sou sit espesyal. An reyalite, apre kèk tan, ou resevwa yon mesaj ke kantite lajan ou te touche a ka retire nan yon kont espesyal, men ou bezwen transfere yon ti kantite taks anvan sa. Li klè ke apre yo fin resevwa lajan sa a, SCAMMERS yo pa transfere anyen an retou, ak itilizatè a gullible pèdi lajan an transfere.
Gen yon lòt menas ki asosye ak Òganizasyon Mondyal Lasante. Hackers pirate anviwònman DNS D-Link ak routeurs Linksys, souvan itilize pa itilizatè kay ak ti biznis yo, yo nan lòd yo redireksyon yo nan yon sit entènèt fo ak yon avètisman pop-up sou nesesite pou enstale aplikasyon OMS la, ki pral kenbe yo. ajou ak dènye nouvèl sou coronavirus la. Anplis, aplikasyon an tèt li genyen move pwogram Oski, ki vòlè enfòmasyon.
Yon lide ki sanble ak yon aplikasyon ki genyen sitiyasyon aktyèl la nan enfeksyon COVID-19 se eksplwate pa Android Trojan CovidLock la, ki distribye atravè yon aplikasyon ki swadizan "sètifye" pa Depatman Edikasyon Ameriken an, OMS ak Sant pou Kontwòl Epidemi ( CDC).
Anpil itilizatè jodi a yo izole tèt yo epi, yo pa vle oswa yo pa kapab kwit manje, aktivman itilize sèvis livrezon pou manje, makèt oswa lòt machandiz, tankou papye twalèt. Atakè yo te metrize vektè sa a pou pwòp rezon pa yo. Pou egzanp, se sa ki sanble yon sit entènèt move, menm jan ak yon resous lejitim posede pa Canada Post. Lyen ki soti nan SMS viktim nan resevwa mennen nan yon sit entènèt ki rapòte ke pwodwi kòmande a pa ka delivre paske se sèlman $ 3 ki manke, ki dwe peye anplis. Nan ka sa a, itilizatè a ap dirije nan yon paj kote li dwe endike detay yo nan kat kredi li ... ak tout konsekans ki vini yo.
An konklizyon, mwen ta renmen bay de lòt egzanp menas cyber ki gen rapò ak COVID-19. Pou egzanp, grefon yo "COVID-19 Coronavirus - Live Map WordPress Plugin", "Graph Prediksyon Coronavirus pwopagasyon" oswa "Covid-19" yo entegre nan sit lè l sèvi avèk motè popilè WordPress la epi, ansanm ak montre yon kat jeyografik nan pwopagasyon an. coronavirus, genyen tou malveyan WP-VCD. Ak konpayi Zoom an, ki, apre kwasans kantite evènman sou entènèt, te vin trè, trè popilè, te fè fas ak sa ekspè yo te rele "Zoombombing." Atakè yo, men an reyalite trol pònografi òdinè, ki konekte nan chat sou entènèt ak reyinyon sou entènèt ak te montre divès kalite videyo obsèn. By wout la, yon menas menm jan an rankontre jodi a pa konpayi Ris.
Mwen panse ke pifò nan nou regilyèman tcheke divès resous, tou de ofisyèl ak pa tèlman ofisyèl, sou sitiyasyon aktyèl la nan pandemi an. Atakè yo ap eksplwate sijè sa a, yo ofri nou "dènye" enfòmasyon sou coronavirus la, tankou enfòmasyon "ke otorite yo kache pou ou." Men, menm itilizatè òdinè yo dènyèman souvan ede atakè yo lè yo voye kòd enfòmasyon verifye nan men "zanmi" ak "zanmi". Sikològ yo di ke aktivite sa yo nan itilizatè "alarmis" ki voye tout bagay ki antre nan jaden vizyon yo (espesyalman nan rezo sosyal ak mesaje enstantane, ki pa gen mekanis pwoteksyon kont menas sa yo), pèmèt yo santi yo patisipe nan batay la kont. yon menas mondyal e, menm santi tankou ewo sove mond lan kont coronavirus. Men, malerezman, mank de konesans espesyal mennen nan lefèt ke bon entansyon sa yo "mennen tout moun nan lanfè," kreye nouvo menas cybersecurity ak elaji kantite viktim yo.
An reyalite, mwen te kapab kontinye ak egzanp menas cyber ki gen rapò ak coronavirus; Anplis, sibèrkriminèl yo pa rete kanpe epi yo vini ak plis ak plis nouvo fason yo eksplwate pasyon imen. Men, mwen panse ke nou ka sispann la. Foto a deja klè epi li di nou ke nan fiti prè sitiyasyon an pral sèlman vin pi mal. Yè, otorite Moskou yo mete vil dis milyon moun anba izolasyon pwòp tèt ou. Otorite yo nan rejyon Moskou a ak anpil lòt rejyon nan Larisi, osi byen ke vwazen ki pi pre nou yo nan ansyen espas pòs Sovyetik la, te fè menm bagay la. Sa vle di ke kantite viktim potansyèl ki vize pa cybercriminals ap ogmante anpil fwa. Se poutèt sa, li vo pa sèlman rekonsidere estrateji sekirite ou a, ki jiska dènyèman te konsantre sou pwoteje sèlman yon rezo antrepriz oswa depatmantal, ak evalye ki zouti pwoteksyon ou manke, men tou, pran an konsiderasyon egzanp yo bay nan pwogram konsyantizasyon pèsonèl ou a, ki se. vin yon pati enpòtan nan sistèm sekirite enfòmasyon pou travayè aleka yo. A pare pou ede w ak sa!
PS. Nan preparasyon materyèl sa a, yo te itilize materyèl Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security ak konpayi RiskIQ, Depatman Jistis Etazini, resous Bleeping Computer, SecurityAffairs, elatriye.
Sous: www.habr.com