Umræðuefnið um kórónavírus í dag hefur fyllt alla fréttastrauma, og hefur einnig orðið helsta leiðarstefið í ýmsum athöfnum árásarmanna sem nýta sér efnið COVID-19 og allt sem tengist því. Í þessari athugasemd vil ég vekja athygli á nokkrum dæmum um slíka illgjarna starfsemi, sem auðvitað er ekki leyndarmál fyrir marga sérfræðinga í upplýsingaöryggi, en samantektin á einni athugasemd auðveldar að undirbúa eigin vitund. -uppákomur fyrir starfsmenn, sem sumir vinna í fjarvinnu og aðrir viðkvæmari fyrir ýmsum ógnum upplýsingaöryggis en áður.
Augnablik umhyggju frá UFO
Heimurinn hefur opinberlega lýst yfir heimsfaraldri COVID-19, hugsanlega alvarlegrar bráðrar öndunarfærasýkingar af völdum SARS-CoV-2 kransæðaveirunnar (2019-nCoV). Það er mikið af upplýsingum um Habré um þetta efni - mundu alltaf að það getur verið bæði áreiðanlegt/gagnlegt og öfugt.
Við hvetjum þig til að vera gagnrýninn á allar upplýsingar sem birtar eru.
Opinberar heimildir
- Vefsíður og opinberir hópar rekstrarlegra höfuðstöðva á svæðunum
Ef þú býrð ekki í Rússlandi, vinsamlegast skoðaðu svipaðar síður í þínu landi.
Þvoðu hendurnar, hugsaðu um ástvini þína, vertu heima ef hægt er og vinndu í fjarvinnu.Lestu rit um: |
Það skal tekið fram að það eru engar alveg nýjar ógnir tengdar kransæðavírus í dag. Frekar erum við að tala um árásarvektora sem eru þegar orðnir hefðbundnir, einfaldlega notaðir í nýja „sósu“. Svo ég myndi kalla helstu tegundir ógnanna:
- vefveiðasíður og fréttabréf tengd kransæðaveiru og tengdum skaðlegum kóða
- Svik og óupplýsingar sem miða að því að nýta ótta eða ófullnægjandi upplýsingar um COVID-19
- árásir gegn samtökum sem taka þátt í rannsóknum á kransæðaveiru
Í Rússlandi, þar sem borgarar treysta yfirleitt ekki yfirvöldum og trúa því að þeir séu að fela sannleikann fyrir þeim, eru líkurnar á að „efla“ vefveiðasíður og póstlista, sem og sviksamlega heimildir, mun meiri en í löndum með opnari yfirvöldum. Þrátt fyrir að í dag geti enginn talið sig algerlega verndað fyrir skapandi netsvikara sem nota alla klassíska mannlega veikleika einstaklingsins - ótta, samúð, græðgi o.s.frv.
Tökum sem dæmi sviksamlega síðu sem selur læknisgrímur.
Sambærileg síða, CoronavirusMedicalkit[.]com, var lokað af bandarískum yfirvöldum fyrir að dreifa COVID-19 bóluefni sem ekki var til ókeypis, með „aðeins“ burðargjaldi til að senda lyfið. Í þessu tilviki, með svo lágt verð, var útreikningurinn fyrir flýtieftirspurn eftir lyfinu við læti í Bandaríkjunum.
Þetta er ekki klassísk netógn, þar sem verkefni árásarmanna í þessu tilfelli er ekki að smita notendur eða stela persónulegum gögnum þeirra eða auðkennisupplýsingum, heldur einfaldlega á óttabylgju til að neyða þá til að punga út og kaupa læknisgrímur á uppsprengdu verði um 5-10-30 sinnum umfram raunkostnað. En hugmyndin um að búa til falsa vefsíðu sem notfærir sér kransæðaveiruþemað er einnig notuð af netglæpamönnum. Til dæmis, hér er síða sem inniheldur leitarorðið „covid19“, en hún er líka vefveiðasíða.
Almennt, daglegt eftirlit með atviksrannsóknarþjónustu okkar , þú sérð hversu mörg lén eru búin til sem innihalda orðin covid, covid19, coronavirus o.s.frv. Og margir þeirra eru illgjarnir.
Í umhverfi þar sem sumir starfsmenn fyrirtækisins eru fluttir til vinnu að heiman og þeir eru ekki varðir með öryggisráðstöfunum fyrirtækja, er mikilvægara en nokkru sinni fyrr að fylgjast með þeim úrræðum sem aðgangur er að úr farsímum og borðtölvum starfsmanna, meðvitað eða án þeirra. þekkingu. Ef þú ert ekki að nota þjónustuna til að greina og loka fyrir slík lén (og Cisco tenging við þessa þjónustu er nú ókeypis), þá skaltu að minnsta kosti stilla eftirlitslausnir þínar fyrir vefaðgang til að fylgjast með lénum með viðeigandi leitarorðum. Á sama tíma, mundu að hefðbundin aðferð við að setja lén á svartan lista, sem og notkun orðsporsgagnagrunna, getur mistekist, þar sem illgjarn lén eru búin til mjög fljótt og eru aðeins notuð í 1-2 árásum í ekki lengur en nokkrar klukkustundir - þá árásarmenn skipta yfir í ný skammvinn lén. Upplýsingaöryggisfyrirtæki hafa einfaldlega ekki tíma til að uppfæra þekkingargrunn sinn hratt og dreifa þeim til allra viðskiptavina sinna.
Árásarmenn halda áfram að nýta tölvupóstrásina með virkum hætti til að dreifa vefveiðum og spilliforritum í viðhengjum. Og skilvirkni þeirra er nokkuð mikil, þar sem notendur, á meðan þeir fá fullkomlega löglega fréttapósta um kransæðavírus, geta ekki alltaf greint eitthvað illgjarnt í magni þeirra. Og á meðan fjöldi smitaðra fólks er aðeins að aukast mun úrval slíkra ógna líka aðeins vaxa.
Svona lítur dæmi um phishing tölvupóst fyrir hönd CDC út:
Að fylgja hlekknum leiðir auðvitað ekki á CDC vefsíðuna, heldur á falsa síðu sem stelur notandanafninu og lykilorði fórnarlambsins:
Hér er dæmi um vefveiðar sem er talið vera á vegum Alþjóðaheilbrigðismálastofnunarinnar:
Og í þessu dæmi treysta árásarmennirnir á þá staðreynd að margir telja að yfirvöld séu að fela raunverulegt umfang sýkingarinnar fyrir þeim og þess vegna smelli notendur glaðir og nánast hiklaust á þessa tegund af bréfum með skaðlegum hlekkjum eða viðhengjum sem ætlar að afhjúpa öll leyndarmálin.
Við the vegur, það er svona síða , sem gerir þér kleift að fylgjast með ýmsum vísbendingum, til dæmis dánartíðni, fjölda reykingamanna, íbúafjölda í mismunandi löndum osfrv. Vefsíðan er einnig tileinkuð kórónuveirunni. Og svo þegar ég fór á hana 16. mars, sá ég síðu sem fékk mig í smá stund að efast um að yfirvöld væru að segja okkur satt (ég veit ekki hver ástæðan fyrir þessum tölum er, kannski bara mistök):
Einn af vinsælustu innviðunum sem árásarmenn nota til að senda svipaðan tölvupóst er Emotet, ein hættulegasta og vinsælasta ógn síðari tíma. Word skjöl sem fylgja tölvupóstskeytum innihalda Emotet niðurhalara, sem hlaða nýjum skaðlegum einingum á tölvu fórnarlambsins. Emotet var upphaflega notað til að kynna tengla á sviksamlega vefsíður sem seldu læknisgrímur, sem beittu íbúum Japans. Hér að neðan sérðu niðurstöðuna af því að greina skaðlega skrá með því að nota sandkassa , sem greinir skrár fyrir skaðsemi.
En árásarmenn nýta ekki aðeins hæfileikann til að ræsa í MS Word, heldur einnig í öðrum Microsoft forritum, til dæmis í MS Excel (svona virkaði APT36 tölvuþrjótahópurinn), og sendi frá stjórnvöldum á Indlandi sem innihélt Crimson tilmæli um að berjast gegn kransæðaveiru. ROTTA:
Önnur illgjarn herferð sem notar kransæðaveiruþemað er Nanocore RAT, sem gerir þér kleift að setja upp forrit á tölvur fórnarlambsins til að fá fjaraðgang, stöðva lyklaborðshögg, taka skjámyndir, fá aðgang að skrám osfrv.
Og Nanocore RAT er venjulega afhent með tölvupósti. Til dæmis, hér að neðan sérðu dæmi um póstskilaboð með meðfylgjandi ZIP skjalasafni sem inniheldur keyranlega PIF skrá. Með því að smella á keyrsluskrána setur fórnarlambið upp fjaraðgangsforrit (Remote Access Tool, RAT) á tölvunni sinni.
Og hér er annað dæmi um herferðarsníkjudýr um efnið COVID-19. Notandinn fær bréf um væntanlega afhendingartöf vegna kransæðaveiru með meðfylgjandi reikningi með endingunni .pdf.ace. Inni í þjöppuðu skjalasafninu er keyranlegt efni sem kemur á tengingu við stjórn- og stjórnunarþjóninn til að taka á móti viðbótarskipunum og framkvæma önnur árásarmarkmið.
Parallax RAT hefur svipaða virkni, sem dreifir skrá sem heitir „new infected CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif“ og sem setur upp illgjarnt forrit sem hefur samskipti við stjórnþjón sinn í gegnum DNS samskiptareglur. EDR flokks verndarverkfæri, dæmi um það er , og annað hvort NGFW mun hjálpa til við að fylgjast með samskiptum við stjórnunarþjóna (til dæmis, ), eða DNS eftirlitsverkfæri (til dæmis, ).
Í dæminu hér að neðan var spilliforrit með fjaraðgangi sett upp á tölvu fórnarlambs sem af óþekktum ástæðum keypti sér að auglýsa sem venjulegt vírusvarnarforrit uppsett á tölvu gæti verndað gegn raunverulegu COVID-19. Og þegar öllu er á botninn hvolft féll einhver fyrir svona gríni.
En meðal spilliforrita eru líka mjög undarlegir hlutir. Til dæmis brandaraskrár sem líkja eftir vinnu lausnarhugbúnaðar. Í einu tilviki, Cisco Talos deildin okkar skrá sem heitir CoronaVirus.exe, sem lokaði skjánum meðan á framkvæmd stóð og kveikti á tímamæli og skilaboðunum „eyðir öllum skrám og möppum á þessari tölvu - coronavirus.
Þegar niðurtalningu var lokið varð hnappurinn neðst virkur og þegar ýtt var á hann birtust eftirfarandi skilaboð um að þetta væri allt í gríni og að ýta ætti á Alt+F12 til að hætta forritinu.
Baráttan gegn skaðlegum póstsendingum er hægt að gera sjálfvirkan, til dæmis með því að nota , sem gerir þér kleift að greina ekki aðeins skaðlegt efni í viðhengjum, heldur einnig að fylgjast með vefveiðum og smellum á þá. En jafnvel í þessu tilfelli ættirðu ekki að gleyma því að þjálfa notendur og stunda reglulega phishing-hermir og netæfingar, sem munu undirbúa notendur fyrir ýmsar brellur árásarmanna sem beinast gegn notendum þínum. Sérstaklega ef þeir vinna í fjarvinnu og í gegnum persónulega tölvupóstinn sinn, getur illgjarn kóði komist inn í fyrirtækja- eða deildarkerfi. Hér gæti ég mælt með nýrri lausn , sem gerir ekki aðeins kleift að stunda ör- og nanóþjálfun starfsmanna í upplýsingaöryggismálum, heldur einnig að skipuleggja phishing-hermun fyrir þá.
En ef þú af einhverjum ástæðum ertu ekki tilbúinn að nota slíkar lausnir, þá er það þess virði að skipuleggja reglulega póst til starfsmanna þinna með áminningu um phishing hættuna, dæmi hennar og lista yfir reglur um örugga hegðun (aðalatriðið er að árásarmenn dulbúa sig ekki sem þeir ). Við the vegur, ein af hugsanlegum áhættum um þessar mundir er vefveiðapóstur sem líkist bréfum frá stjórnendum þínum, sem segjast tala um nýjar reglur og verklagsreglur fyrir fjarvinnu, lögboðinn hugbúnað sem verður að setja upp á fjartengdum tölvum o.s.frv. Og ekki gleyma því að auk tölvupósts geta netglæpamenn notað spjallforrit og samfélagsnet.
Í svona póstsendingar- eða vitundarvakningarforriti geturðu líka látið hið þegar klassíska dæmi um falsað kort af kórónavírussýkingu fylgja með, sem var svipað því Johns Hopkins háskólanum. Mismunur var að þegar farið var inn á vefveiðar var spilliforrit sett upp á tölvu notandans, sem stal upplýsingum um notendareikning og sendi þær til netglæpamanna. Ein útgáfa af slíku forriti bjó einnig til RDP tengingar fyrir fjaraðgang að tölvu fórnarlambsins.
Við the vegur, um RDP. Þetta er annar árásarfergur sem árásarmenn eru farnir að nota virkari meðan á kórónuveirunni stendur. Mörg fyrirtæki, þegar skipt er yfir í fjarvinnu, nota þjónustu eins og RDP, sem, ef hún er rangt stillt vegna fljótfærni, getur leitt til þess að árásarmenn síast inn í bæði fjarnotendatölvur og inn í innviði fyrirtækja. Þar að auki, jafnvel með réttri uppsetningu, geta ýmsar RDP útfærslur verið með veikleika sem árásarmenn geta nýtt sér. Til dæmis Cisco Talos marga veikleika í FreeRDP og í maí á síðasta ári uppgötvaðist mikilvægur varnarleysi CVE-2019-0708 í Microsoft Remote Desktop þjónustunni, sem gerði kleift að keyra handahófskenndan kóða á tölvu fórnarlambsins, koma á spilliforritum o.s.frv. Fréttabréfi um hana var meira að segja dreift , og til dæmis Cisco Talos ráðleggingar um vernd gegn því.
Það er annað dæmi um hagnýtingu á kransæðaveiruþema - raunveruleg hætta á smiti fjölskyldu fórnarlambsins ef hún neitar að greiða lausnargjaldið í bitcoins. Til að auka áhrifin, gefa bréfinu þýðingu og skapa tilfinningu fyrir almætti fjárkúgarans, var lykilorði fórnarlambsins af einum reikninga hans, fengið úr opinberum gagnagrunnum með innskráningu og lykilorðum, sett inn í texta bréfsins.
Í einu af dæmunum hér að ofan sýndi ég vefveiðarskilaboð frá Alþjóðaheilbrigðismálastofnuninni. Og hér er annað dæmi þar sem notendur eru beðnir um fjárhagsaðstoð til að berjast gegn COVID-19 (þó að í hausnum í meginmáli bréfsins sé orðið „GJÖF“ strax áberandi). Og þeir biðja um hjálp í bitcoins til að vernda gegn mælingar á dulritunargjaldmiðli.
Og í dag eru mörg slík dæmi sem nýta samúð notenda:
Bitcoins tengjast COVID-19 á annan hátt. Svona lítur til dæmis út póstsendingar sem berast mörgum breskum ríkisborgurum sem sitja heima og geta ekki unnið sér inn peninga (í Rússlandi mun þetta líka skipta máli).
Þessi póstsending er dulbúin sem þekkt dagblöð og fréttasíður og býður upp á auðvelda peninga með því að vinna dulritunargjaldmiðla á sérstökum síðum. Reyndar, eftir nokkurn tíma, færðu skilaboð um að hægt sé að taka upphæðina sem þú hefur unnið þér inn á sérstakan reikning, en þú þarft að millifæra smá skatta fyrir það. Ljóst er að eftir að hafa fengið þessa peninga millifæra svindlararnir ekkert í staðinn og hinn auðtrúi notandi tapar þeim peningum sem millifærðu eru.
Það er önnur ógn tengd Alþjóðaheilbrigðismálastofnuninni. Tölvuþrjótar réðust inn á DNS-stillingar D-Link og Linksys beina, sem oft eru notaðar af heimanotendum og litlum fyrirtækjum, til að beina þeim á falsa vefsíðu með sprettigluggaviðvörun um nauðsyn þess að setja upp WHO appið, sem mun halda þeim uppfærð með nýjustu fréttir af kransæðavírnum. Þar að auki innihélt forritið sjálft illgjarn forritið Oski, sem stelur upplýsingum.
Svipuð hugmynd með forriti sem inniheldur núverandi stöðu COVID-19 sýkingar er nýtt af Android Trojan CovidLock, sem er dreift í gegnum forrit sem er talið „vottað“ af bandaríska menntamálaráðuneytinu, WHO og Center for Epidemic Control ( CDC).
Margir notendur í dag eru í einangrun og, óviljugir eða ófærir um að elda, nota þeir afhendingarþjónustu fyrir mat, matvöru eða annan varning, svo sem salernispappír. Árásarmenn hafa líka náð tökum á þessum vektor í eigin tilgangi. Til dæmis lítur illgjarn vefsíða út eins og lögmæt auðlind í eigu Canada Post. Hlekkurinn úr SMS-skilaboðinu sem fórnarlambið fékk leiðir á vefsíðu sem greinir frá því að ekki sé hægt að afhenda pantaða vöru þar sem aðeins $3 vantar, sem þarf að greiða aukalega. Í þessu tilviki er notanda vísað á síðu þar sem hann verður að gefa upp upplýsingar um kreditkortið sitt... með öllum þeim afleiðingum sem það getur haft í för með sér.
Að lokum vil ég nefna tvö dæmi til viðbótar um netógnir tengdar COVID-19. Til dæmis eru viðbæturnar „COVID-19 Coronavirus - Live Map WordPress Plugin“, „Coronavirus Spread Prediction Graphs“ eða „Covid-19“ innbyggð í síður sem nota vinsælu WordPress vélina og ásamt því að sýna kort af útbreiðslu kransæðavírus, innihalda einnig WP-VCD spilliforritið. Og fyrirtækið Zoom, sem varð mjög, mjög vinsælt í kjölfar aukins fjölda netviðburða, stóð frammi fyrir því sem sérfræðingar kölluðu „Zoombombing“. Árásarmennirnir, en í raun venjuleg klámtröll, tengdust netspjalli og netfundum og sýndu ýmis ruddaleg myndbönd. Við the vegur, svipuð ógn er uppi í dag af rússneskum fyrirtækjum.
Ég held að flest okkar skoðum reglulega ýmis úrræði, bæði opinber og ekki svo opinber, um núverandi stöðu heimsfaraldursins. Árásarmenn nýta sér þetta efni og bjóða okkur „nýjustu“ upplýsingarnar um kórónavírusinn, þar á meðal upplýsingar „sem yfirvöld eru að fela fyrir þér. En jafnvel venjulegir notendur hafa nýlega oft hjálpað árásarmönnum með því að senda kóða með staðfestum staðreyndum frá „kunningjum“ og „vinum“. Sálfræðingar segja að slík virkni „viðvörunar“ notenda sem senda frá sér allt sem kemur inn á sjónsvið þeirra (sérstaklega á samfélagsnetum og spjallforritum, sem hafa ekki verndarkerfi gegn slíkum ógnum), geri þeim kleift að finna fyrir þátttöku í baráttunni gegn hnattræn ógn og líður jafnvel eins og hetjur sem bjarga heiminum frá kransæðavírus. En því miður leiðir skortur á sérþekkingu til þess að þessi góði ásetning „leiðir alla til helvítis,“ skapar nýjar netöryggisógnir og stækkar fjölda fórnarlamba.
Reyndar gæti ég haldið áfram með dæmi um netógnir tengdar kransæðavírus; Þar að auki standa netglæpamenn ekki kyrrir og koma með fleiri og fleiri nýjar leiðir til að nýta mannlegar ástríður. En ég held að við getum stoppað þar. Myndin er þegar skýr og hún segir okkur að á næstunni muni ástandið bara versna. Yfirvöld í Moskvu settu í gær tíu milljóna manna borg í einangrun. Yfirvöld Moskvusvæðisins og margra annarra héraða Rússlands, sem og nánustu nágrannar okkar í fyrrum geimnum eftir Sovétríkin, gerðu slíkt hið sama. Þetta þýðir að fjöldi hugsanlegra fórnarlamba sem netglæpamenn hafa skotmark mun fjölga margfalt. Þess vegna er það þess virði að endurskoða öryggisstefnu þína, sem þar til nýlega var lögð áhersla á að vernda eingöngu fyrirtækja- eða deildarnet, og meta hvaða verndartæki þig skortir, heldur einnig að taka tillit til dæmanna sem gefin eru í starfsmannavitundaráætlun þinni, sem er að verða mikilvægur hluti af upplýsingaöryggiskerfi fjarstarfsmanna. A tilbúinn að hjálpa þér með þetta!
PS. Við gerð þessa efnis var notað efni frá Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security og RiskIQ fyrirtækjum, bandaríska dómsmálaráðuneytinu, Bleeping Computer resources, SecurityAffairs o.fl.. P.
Heimild: www.habr.com