Topik virus corona saat ini telah memenuhi semua feed berita, dan juga menjadi motif utama berbagai aktivitas penyerang yang mengeksploitasi topik COVID-19 dan segala sesuatu yang berhubungan dengannya. Dalam catatan ini, saya ingin menarik perhatian pada beberapa contoh aktivitas jahat tersebut, yang tentu saja bukan rahasia bagi banyak pakar keamanan informasi, namun rangkumannya dalam satu catatan akan memudahkan Anda mempersiapkan kesadaran Anda sendiri. -mengangkat acara untuk karyawan, beberapa di antaranya bekerja dari jarak jauh dan lainnya lebih rentan terhadap berbagai ancaman keamanan informasi dibandingkan sebelumnya.
Satu menit perawatan dari UFO
Dunia telah secara resmi mendeklarasikan pandemi COVID-19, penyakit infeksi pernafasan akut parah yang disebabkan oleh virus corona SARS-CoV-2 (2019-nCoV). Ada banyak informasi di Habré mengenai topik ini - ingatlah selalu bahwa informasi tersebut dapat diandalkan/berguna dan sebaliknya.
Kami mendorong Anda untuk bersikap kritis terhadap informasi apa pun yang dipublikasikan.
альные очники
- Website dan grup resmi kantor pusat operasional di daerah
Jika Anda tidak tinggal di Rusia, silakan merujuk ke situs serupa di negara Anda.
Cuci tangan Anda, rawat orang yang Anda cintai, tetap di rumah jika memungkinkan, dan bekerja dari jarak jauh.Baca publikasi tentang: |
Perlu dicatat bahwa saat ini tidak ada ancaman baru yang terkait dengan virus corona. Sebaliknya, kita berbicara tentang vektor serangan yang sudah menjadi tradisi, hanya digunakan dalam “saus” baru. Jadi, saya akan menyebutkan jenis-jenis ancaman utama:
- situs phishing dan buletin terkait virus corona dan kode berbahaya terkait
- Penipuan dan disinformasi yang bertujuan mengeksploitasi ketakutan atau informasi yang tidak lengkap tentang COVID-19
- serangan terhadap organisasi yang terlibat dalam penelitian virus corona
Di Rusia, di mana masyarakatnya secara tradisional tidak mempercayai pihak berwenang dan percaya bahwa mereka menyembunyikan kebenaran dari mereka, kemungkinan berhasil “mempromosikan” situs dan milis phishing, serta sumber daya palsu, jauh lebih tinggi dibandingkan di negara-negara yang lebih terbuka. pihak berwajib. Meskipun saat ini tidak ada seorang pun yang dapat menganggap dirinya benar-benar terlindungi dari penipu dunia maya kreatif yang memanfaatkan semua kelemahan klasik manusia - ketakutan, kasih sayang, keserakahan, dll.
Ambil contoh, situs penipuan yang menjual masker medis.
Situs serupa, CoronavirusMedicalkit[.]com, ditutup oleh otoritas AS karena mendistribusikan vaksin COVID-19 yang tidak ada secara gratis, dengan "hanya" ongkos kirim untuk mengirimkan obat tersebut. Dalam hal ini, dengan harga yang begitu murah, perhitungannya adalah karena terburu-burunya permintaan obat tersebut dalam kondisi panik di Amerika Serikat.
Ini bukan ancaman dunia maya klasik, karena tugas penyerang dalam kasus ini bukan untuk menginfeksi pengguna atau mencuri data pribadi atau informasi identifikasi mereka, namun hanya karena rasa takut memaksa mereka membayar dan membeli masker medis dengan harga yang melambung. sebesar 5-10-30 kali melebihi biaya sebenarnya. Namun gagasan untuk membuat situs web palsu yang mengeksploitasi tema virus corona juga digunakan oleh penjahat dunia maya. Misalnya ada situs yang namanya mengandung kata kunci “covid19”, tetapi juga merupakan situs phishing.
Secara umum, pemantauan harian layanan investigasi insiden kami , Anda lihat berapa banyak domain yang dibuat yang namanya mengandung kata covid, covid19, virus corona, dll. Dan banyak dari mereka yang jahat.
Dalam lingkungan di mana beberapa karyawan perusahaan dipindahkan untuk bekerja dari rumah dan mereka tidak dilindungi oleh langkah-langkah keamanan perusahaan, pemantauan sumber daya yang diakses dari perangkat seluler dan desktop karyawan, secara sadar atau tanpa pengawasan, menjadi lebih penting dari sebelumnya. pengetahuan. Jika Anda tidak menggunakan layanan ini untuk mendeteksi dan memblokir domain tersebut (dan Cisco koneksi ke layanan ini sekarang gratis), lalu minimal konfigurasikan solusi pemantauan akses Web Anda untuk memantau domain dengan kata kunci yang relevan. Pada saat yang sama, ingatlah bahwa pendekatan tradisional untuk memasukkan domain ke daftar hitam, serta penggunaan database reputasi, bisa gagal, karena domain berbahaya dibuat dengan sangat cepat dan hanya digunakan dalam 1-2 serangan selama tidak lebih dari beberapa jam - maka penyerang beralih ke domain sementara yang baru. Perusahaan keamanan informasi tidak punya waktu untuk memperbarui basis pengetahuan mereka dengan cepat dan mendistribusikannya ke semua klien mereka.
Penyerang terus secara aktif mengeksploitasi saluran email untuk mendistribusikan tautan phishing dan malware dalam lampiran. Dan efektivitasnya cukup tinggi, karena pengguna, ketika menerima surat berita yang sepenuhnya legal tentang virus corona, tidak selalu dapat mengenali sesuatu yang berbahaya dalam volume mereka. Meskipun jumlah orang yang terinfeksi terus bertambah, jangkauan ancamannya juga akan terus bertambah.
Misalnya saja seperti ini contoh email phishing yang mengatasnamakan CDC:
Mengikuti tautan tersebut tentu saja tidak mengarah ke situs CDC, melainkan ke halaman palsu yang mencuri login dan kata sandi korban:
Berikut adalah contoh email phishing yang diduga mengatasnamakan Organisasi Kesehatan Dunia:
Dan dalam contoh ini, para penyerang mengandalkan fakta bahwa banyak orang percaya bahwa pihak berwenang menyembunyikan skala infeksi yang sebenarnya dari mereka, dan oleh karena itu pengguna dengan senang hati dan hampir tanpa ragu mengklik jenis surat dengan tautan atau lampiran berbahaya yang konon akan mengungkap semua rahasianya.
Ngomong-ngomong, ada situs seperti itu , yang memungkinkan Anda melacak berbagai indikator, misalnya kematian, jumlah perokok, populasi di berbagai negara, dll. Situs web ini juga memiliki halaman yang didedikasikan untuk virus corona. Jadi ketika saya membukanya pada tanggal 16 Maret, saya melihat halaman yang sejenak membuat saya ragu apakah pihak berwenang mengatakan yang sebenarnya (saya tidak tahu apa alasan angka-angka ini, mungkin hanya sebuah kesalahan):
Salah satu infrastruktur populer yang digunakan penyerang untuk mengirim email serupa adalah Emotet, salah satu ancaman paling berbahaya dan populer saat ini. Dokumen Word yang dilampirkan ke pesan email berisi pengunduh Emotet, yang memuat modul berbahaya baru ke komputer korban. Emotet awalnya digunakan untuk mempromosikan tautan ke situs web palsu yang menjual masker medis, yang menargetkan penduduk Jepang. Di bawah ini Anda melihat hasil analisis file berbahaya menggunakan sandboxing , yang menganalisis file untuk mencari malware.
Namun penyerang mengeksploitasi tidak hanya kemampuan peluncuran di MS Word, tetapi juga di aplikasi Microsoft lainnya, misalnya di MS Excel (begitulah tindakan kelompok peretas APT36), mengirimkan rekomendasi untuk memerangi virus corona dari Pemerintah India yang mengandung Crimson TIKUS:
Kampanye jahat lainnya yang mengeksploitasi tema virus corona adalah Nanocore RAT, yang memungkinkan Anda menginstal program pada komputer korban untuk akses jarak jauh, mencegat ketukan keyboard, mengambil gambar layar, mengakses file, dll.
Dan Nanocore RAT biasanya dikirimkan melalui email. Misalnya, di bawah ini Anda melihat contoh pesan email dengan arsip ZIP terlampir yang berisi file PIF yang dapat dieksekusi. Dengan mengklik file yang dapat dieksekusi, korban menginstal program akses jarak jauh (Remote Access Tool, RAT) di komputernya.
Dan inilah contoh lain dari kampanye yang bersifat parasit pada topik COVID-19. Pengguna menerima surat tentang dugaan keterlambatan pengiriman karena virus corona dengan lampiran faktur dengan ekstensi .pdf.ace. Di dalam arsip terkompresi terdapat konten yang dapat dieksekusi yang membuat koneksi ke server perintah dan kontrol untuk menerima perintah tambahan dan melakukan target penyerang lainnya.
Parallax RAT memiliki fungsi serupa, yang mendistribusikan file bernama “CORONAVIRUS sky baru yang terinfeksi 03.02.2020/XNUMX/XNUMX.pif” dan yang menginstal program jahat yang berinteraksi dengan server perintahnya melalui protokol DNS. Alat proteksi kelas EDR, contohnya adalah , dan NGFW akan membantu memantau komunikasi dengan server perintah (misalnya, ), atau alat pemantauan DNS (misalnya, ).
Pada contoh di bawah, malware akses jarak jauh dipasang di komputer korban yang, karena alasan yang tidak diketahui, menerima iklan bahwa program antivirus biasa yang dipasang di PC dapat melindungi dari COVID-19 yang sebenarnya. Dan lagipula, seseorang menyukai lelucon seperti itu.
Namun di antara malware juga ada beberapa hal yang sangat aneh. Misalnya saja file lelucon yang meniru kerja ransomware. Dalam satu kasus, divisi Cisco Talos kami file bernama CoronaVirus.exe, yang memblokir layar selama eksekusi dan memulai pengatur waktu dan pesan “menghapus semua file dan folder di komputer ini - virus corona.”
Setelah hitungan mundur selesai, tombol di bagian bawah menjadi aktif dan ketika ditekan, pesan berikut ditampilkan, mengatakan bahwa ini semua hanya lelucon dan Anda harus menekan Alt+F12 untuk mengakhiri program.
Pertarungan melawan surat berbahaya dapat diotomatisasi, misalnya dengan menggunakan , yang memungkinkan Anda mendeteksi tidak hanya konten berbahaya dalam lampiran, tetapi juga melacak tautan phishing dan mengekliknya. Namun meskipun demikian, Anda tidak boleh lupa untuk melatih pengguna dan melakukan simulasi phishing dan latihan cyber secara rutin, yang akan mempersiapkan pengguna untuk berbagai trik penyerang yang ditujukan terhadap pengguna Anda. Terutama jika mereka bekerja dari jarak jauh dan melalui email pribadi, kode berbahaya dapat menembus jaringan perusahaan atau departemen. Di sini saya dapat merekomendasikan solusi baru , yang memungkinkan tidak hanya melakukan pelatihan mikro dan nano bagi personel tentang masalah keamanan informasi, tetapi juga mengatur simulasi phishing untuk mereka.
Tetapi jika karena alasan tertentu Anda belum siap untuk menggunakan solusi seperti itu, maka setidaknya ada baiknya mengatur pengiriman surat rutin ke karyawan Anda dengan pengingat akan bahaya phishing, contohnya, dan daftar aturan untuk perilaku aman (yang utama adalah itu penyerang tidak menyamar sebagai mereka). Omong-omong, salah satu risiko yang mungkin terjadi saat ini adalah surat phishing yang menyamar sebagai surat dari manajemen Anda, yang diduga membicarakan aturan dan prosedur baru untuk pekerjaan jarak jauh, perangkat lunak wajib yang harus diinstal pada komputer jarak jauh, dll. Dan jangan lupa bahwa selain email, penjahat dunia maya juga dapat menggunakan pesan instan dan jejaring sosial.
Dalam program pengiriman surat atau peningkatan kesadaran ini, Anda juga dapat menyertakan contoh klasik peta infeksi virus corona palsu, yang mirip dengan peta infeksi virus corona. Universitas Johns Hopkins. Perbedaan adalah ketika mengakses situs phishing, malware dipasang di komputer pengguna, yang mencuri informasi akun pengguna dan mengirimkannya ke penjahat dunia maya. Salah satu versi dari program tersebut juga membuat koneksi RDP untuk akses jarak jauh ke komputer korban.
Berbicara tentang RDP. Ini adalah vektor serangan lain yang mulai digunakan secara lebih aktif oleh para penyerang selama pandemi virus corona. Banyak perusahaan, ketika beralih ke pekerjaan jarak jauh, menggunakan layanan seperti RDP, yang jika dikonfigurasi secara tidak benar karena tergesa-gesa, dapat menyebabkan penyerang menyusup ke komputer pengguna jarak jauh dan ke dalam infrastruktur perusahaan. Selain itu, bahkan dengan konfigurasi yang benar, berbagai implementasi RDP mungkin memiliki kerentanan yang dapat dieksploitasi oleh penyerang. Misalnya Cisco Talos beberapa kerentanan di FreeRDP, dan pada Mei tahun lalu, kerentanan kritis CVE-2019-0708 ditemukan di layanan Microsoft Remote Desktop, yang memungkinkan kode arbitrer dieksekusi di komputer korban, masuknya malware, dll. Sebuah buletin tentang dia bahkan didistribusikan , dan, misalnya, Cisco Talos rekomendasi untuk perlindungan terhadapnya.
Ada contoh lain dari eksploitasi tema virus corona - ancaman nyata penularan terhadap keluarga korban jika mereka menolak membayar uang tebusan dalam bentuk bitcoin. Untuk meningkatkan efeknya, untuk memberikan arti penting pada surat tersebut dan untuk menciptakan rasa kemahakuasaan si pemeras, kata sandi korban dari salah satu akunnya, yang diperoleh dari database login dan kata sandi publik, dimasukkan ke dalam teks surat tersebut.
Dalam salah satu contoh di atas, saya menunjukkan pesan phishing dari Organisasi Kesehatan Dunia. Dan ini adalah contoh lain di mana pengguna dimintai bantuan keuangan untuk melawan COVID-19 (walaupun pada header di badan surat, kata “DONASI” langsung terlihat). Dan mereka meminta bantuan dalam bentuk bitcoin untuk melindungi diri dari virus. pelacakan mata uang kripto.
Dan saat ini ada banyak contoh yang mengeksploitasi belas kasih pengguna:
Bitcoin terkait dengan COVID-19 dengan cara lain. Misalnya, seperti inilah kiriman surat yang diterima oleh banyak warga negara Inggris yang duduk di rumah dan tidak dapat memperoleh uang (di Rusia, hal ini sekarang juga akan menjadi relevan).
Menyamar sebagai surat kabar dan situs berita terkenal, surat-surat ini menawarkan uang mudah dengan menambang mata uang kripto di situs khusus. Faktanya, setelah beberapa waktu, Anda menerima pesan bahwa jumlah yang Anda peroleh dapat ditarik ke rekening khusus, tetapi Anda perlu mentransfer sejumlah kecil pajak sebelum itu. Jelas bahwa setelah menerima uang ini, penipu tidak mentransfer imbalan apa pun, dan pengguna yang mudah tertipu kehilangan uang yang ditransfer.
Ada ancaman lain yang terkait dengan Organisasi Kesehatan Dunia. Peretas meretas pengaturan DNS router D-Link dan Linksys, yang sering digunakan oleh pengguna rumahan dan usaha kecil, untuk mengarahkan mereka ke situs web palsu dengan peringatan pop-up tentang perlunya menginstal aplikasi WHO, yang akan membuat mereka tetap terhubung. up to date dengan berita terbaru tentang virus corona. Selain itu, aplikasi itu sendiri berisi program jahat Oski, yang mencuri informasi.
Ide serupa dengan aplikasi yang berisi status infeksi COVID-19 terkini dieksploitasi oleh Trojan Android CovidLock, yang didistribusikan melalui aplikasi yang seharusnya “disertifikasi” oleh Departemen Pendidikan AS, WHO, dan Pusat Pengendalian Epidemi (Center for Epidemic Control). CDC).
Saat ini banyak pengguna yang melakukan isolasi mandiri dan, karena tidak mau atau tidak mampu memasak, secara aktif menggunakan layanan pengiriman makanan, bahan makanan, atau barang lainnya, seperti tisu toilet. Penyerang juga menguasai vektor ini untuk tujuan mereka sendiri. Misalnya, seperti inilah tampilan situs web berbahaya, mirip dengan sumber daya sah yang dimiliki oleh Canada Post. Tautan dari SMS yang diterima korban mengarah ke website yang melaporkan bahwa produk yang dipesan tidak dapat dikirim karena hanya hilang $3 yang harus dibayar ekstra. Dalam hal ini, pengguna diarahkan ke halaman di mana ia harus menunjukkan rincian kartu kreditnya... dengan segala konsekuensinya.
Sebagai penutup, saya ingin memberikan dua contoh lagi ancaman dunia maya terkait COVID-19. Misalnya, plugin “COVID-19 Coronavirus - Live Map WordPress Plugin”, “Coronavirus Spread Prediction Graphs” atau “Covid-19” dibangun ke dalam situs menggunakan mesin WordPress yang populer dan, bersamaan dengan menampilkan peta penyebaran virus. virus corona, juga mengandung malware WP-VCD. Dan perusahaan Zoom, yang menjadi sangat, sangat populer setelah pertumbuhan jumlah acara online, dihadapkan pada apa yang oleh para ahli disebut sebagai “Zoombombing.” Para penyerang, sebenarnya troll porno biasa, terhubung ke obrolan online dan pertemuan online dan memperlihatkan berbagai video cabul. Omong-omong, ancaman serupa saat ini dihadapi oleh perusahaan-perusahaan Rusia.
Saya rasa sebagian besar dari kita secara rutin memeriksa berbagai sumber, baik resmi maupun tidak resmi, mengenai status pandemi saat ini. Penyerang mengeksploitasi topik ini dengan menawarkan kepada kami informasi “terbaru” tentang virus corona, termasuk informasi “yang disembunyikan pihak berwenang dari Anda.” Namun pengguna awam akhir-akhir ini sering membantu penyerang dengan mengirimkan kode fakta terverifikasi dari “kenalan” dan “teman”. Psikolog mengatakan bahwa aktivitas pengguna “alarmist” yang mengirimkan segala sesuatu yang terlihat (terutama di jejaring sosial dan pesan instan, yang tidak memiliki mekanisme perlindungan terhadap ancaman semacam itu), memungkinkan mereka merasa terlibat dalam perang melawan ancaman global dan, bahkan terasa seperti pahlawan yang menyelamatkan dunia dari virus corona. Namun sayangnya, kurangnya pengetahuan khusus mengarah pada fakta bahwa niat baik tersebut “menyebabkan semua orang masuk neraka,” menciptakan ancaman keamanan siber baru dan meningkatkan jumlah korban.
Sebenarnya, saya dapat melanjutkan dengan contoh-contoh ancaman dunia maya yang terkait dengan virus corona; Selain itu, penjahat dunia maya tidak tinggal diam dan terus mencari cara baru untuk mengeksploitasi nafsu manusia. Tapi saya pikir kita bisa berhenti di situ. Gambarannya sudah jelas dan memberi tahu kita bahwa dalam waktu dekat situasinya akan bertambah buruk. Kemarin, pihak berwenang Moskow menempatkan kota berpenduduk sepuluh juta orang itu dalam isolasi mandiri. Pihak berwenang di wilayah Moskow dan banyak wilayah lain di Rusia, serta tetangga terdekat kita di bekas wilayah pasca-Soviet, melakukan hal yang sama. Artinya, jumlah calon korban yang menjadi sasaran penjahat dunia maya akan meningkat berkali-kali lipat. Oleh karena itu, ada baiknya tidak hanya mempertimbangkan kembali strategi keamanan Anda, yang hingga saat ini hanya berfokus pada perlindungan jaringan perusahaan atau departemen, dan menilai alat perlindungan apa yang kurang, tetapi juga mempertimbangkan contoh yang diberikan dalam program kesadaran personel Anda, yaitu menjadi bagian penting dari sistem keamanan informasi bagi pekerja jarak jauh. A siap membantu Anda dalam hal ini!
PS. Dalam mempersiapkan materi ini, digunakan materi dari perusahaan Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security dan RiskIQ, Departemen Kehakiman AS, sumber daya Bleeping Computer, SecurityAffairs, dll.
Sumber: www.habr.com