Il tema del coronavirus oggi ha riempito tutti i feed di notizie ed è diventato anche il leitmotiv principale di varie attività degli aggressori che sfruttano il tema del COVID-19 e tutto ciò che è ad esso connesso. In questa nota, vorrei attirare l'attenzione su alcuni esempi di tale attività dannosa, che, ovviamente, non è un segreto per molti specialisti della sicurezza informatica, ma il cui riepilogo in una nota renderà più facile preparare la propria consapevolezza -promuovere eventi per i dipendenti, alcuni dei quali lavorano in remoto e altri più suscettibili rispetto a prima a varie minacce alla sicurezza delle informazioni.
Un momento di cura da un UFO
Il mondo ha ufficialmente dichiarato una pandemia di COVID-19, un’infezione respiratoria acuta potenzialmente grave causata dal coronavirus SARS-CoV-2 (2019-nCoV). Ci sono molte informazioni su Habré su questo argomento: ricorda sempre che possono essere affidabili/utili e viceversa.
Ti invitiamo a essere critico nei confronti di qualsiasi informazione pubblicata.
ициальные источники
- Siti web e gruppi ufficiali delle sedi operative nelle regioni
Se non vivi in Russia, fai riferimento a siti simili nel tuo paese.
Lavati le mani, prenditi cura dei tuoi cari, resta a casa se possibile e lavora da remoto.Leggi pubblicazioni su: |
Va notato che oggi non esistono minacce completamente nuove associate al coronavirus. Stiamo piuttosto parlando di vettori di attacco che sono già diventati tradizionali, semplicemente usati in una nuova “salsa”. Quindi, definirei i principali tipi di minacce:
- siti di phishing e newsletter relativi al coronavirus e al relativo codice dannoso
- Frode e disinformazione volte a sfruttare la paura o informazioni incomplete sul COVID-19
- attacchi contro organizzazioni coinvolte nella ricerca sul coronavirus
In Russia, dove i cittadini tradizionalmente non si fidano delle autorità e credono che stiano nascondendo loro la verità, la probabilità di “promuovere” con successo siti di phishing e mailing list, nonché risorse fraudolente, è molto più alta che nei paesi con maggiore apertura autorità. Anche se oggi nessuno può considerarsi assolutamente protetto dai truffatori informatici creativi che sfruttano tutte le classiche debolezze umane di una persona: paura, compassione, avidità, ecc.
Prendiamo, ad esempio, un sito fraudolento che vende mascherine mediche.
Un sito simile, CoronavirusMedicalkit[.]com, è stato chiuso dalle autorità statunitensi per aver distribuito gratuitamente un vaccino anti-COVID-19 inesistente con "solo" le spese di spedizione per la spedizione del medicinale. In questo caso, con un prezzo così basso, il calcolo era per la domanda urgente del medicinale in condizioni di panico negli Stati Uniti.
Non si tratta della classica minaccia informatica, poiché il compito degli aggressori in questo caso non è infettare gli utenti o rubare i loro dati personali o informazioni identificative, ma semplicemente, sull'onda della paura, costringerli a sborsare e acquistare mascherine mediche a prezzi gonfiati. di 5-10-30 volte superiori al costo effettivo. Ma l’idea stessa di creare un sito web falso sfruttando il tema del coronavirus viene utilizzata anche dai criminali informatici. Ad esempio, ecco un sito il cui nome contiene la parola chiave “covid19”, ma che è anche un sito di phishing.
In generale, monitoraggio quotidiano del nostro servizio di indagine sugli incidenti , vedi quanti domini vengono creati i cui nomi contengono le parole covid, covid19, coronavirus, ecc. E molti di loro sono dannosi.
In un ambiente in cui alcuni dipendenti dell'azienda vengono trasferiti al lavoro da casa e non sono protetti dalle misure di sicurezza aziendali, è più importante che mai monitorare le risorse a cui accedono dai dispositivi mobili e desktop dei dipendenti, consapevolmente o senza il loro consenso. conoscenza. Se non stai utilizzando il servizio per rilevare e bloccare tali domini (e Cisco la connessione a questo servizio è ora gratuita), quindi configura almeno le tue soluzioni di monitoraggio dell'accesso al Web per monitorare i domini con parole chiave pertinenti. Allo stesso tempo, ricorda che l'approccio tradizionale di inserire nella lista nera i domini, così come l'utilizzo dei database di reputazione, può fallire, poiché i domini dannosi vengono creati molto rapidamente e vengono utilizzati solo in 1-2 attacchi per non più di poche ore - quindi il gli aggressori passano a nuovi domini effimeri. Le società di sicurezza informatica semplicemente non hanno il tempo di aggiornare rapidamente le proprie basi di conoscenza e distribuirle a tutti i loro clienti.
Gli aggressori continuano a sfruttare attivamente il canale di posta elettronica per distribuire collegamenti di phishing e malware negli allegati. E la loro efficacia è piuttosto elevata, poiché gli utenti, pur ricevendo messaggi di notizie completamente legali sul coronavirus, non sempre riescono a riconoscere qualcosa di dannoso nel loro volume. E mentre il numero delle persone infette continua a crescere, anche la portata di tali minacce continuerà a crescere.
Ecco come appare un esempio di email di phishing per conto del CDC:
Seguendo il collegamento, ovviamente, non si accede al sito web del CDC, ma a una pagina falsa che ruba il login e la password della vittima:
Ecco un esempio di e-mail di phishing presumibilmente per conto dell'Organizzazione Mondiale della Sanità:
E in questo esempio, gli aggressori contano sul fatto che molte persone credono che le autorità nascondano loro la reale portata dell'infezione, e quindi gli utenti cliccano volentieri e quasi senza esitazione su questo tipo di lettere con collegamenti o allegati dannosi che presumibilmente rivelerà tutti i segreti.
A proposito, esiste un sito del genere , che consente di tenere traccia di vari indicatori, ad esempio mortalità, numero di fumatori, popolazione in diversi paesi, ecc. Il sito ha anche una pagina dedicata al coronavirus. E così quando ci sono andato il 16 marzo, ho visto una pagina che per un attimo mi ha fatto dubitare che le autorità ci dicessero la verità (non so quale sia il motivo di questi numeri, forse solo un errore):
Una delle infrastrutture popolari utilizzate dagli aggressori per inviare e-mail simili è Emotet, una delle minacce più pericolose e popolari degli ultimi tempi. I documenti Word allegati ai messaggi di posta elettronica contengono downloader Emotet, che caricano nuovi moduli dannosi sul computer della vittima. Emotet è stato inizialmente utilizzato per promuovere collegamenti a siti fraudolenti che vendevano mascherine mediche, prendendo di mira i residenti in Giappone. Di seguito puoi vedere il risultato dell'analisi di un file dannoso utilizzando il sandboxing , che analizza i file per individuare eventuali contenuti dannosi.
Ma gli aggressori sfruttano non solo la capacità di avvio in MS Word, ma anche in altre applicazioni Microsoft, ad esempio MS Excel (così ha agito il gruppo di hacker APT36), inviando raccomandazioni dal governo indiano sulla lotta al coronavirus contenenti Crimson RATTO:
Un'altra campagna dannosa che sfrutta il tema del coronavirus è Nanocore RAT, che consente di installare programmi sui computer delle vittime per l'accesso remoto, intercettando i tasti digitati, catturando immagini dello schermo, accedendo a file, ecc.
E Nanocore RAT viene solitamente consegnato tramite e-mail. Ad esempio, di seguito viene visualizzato un messaggio di posta di esempio con un archivio ZIP allegato che contiene un file PIF eseguibile. Cliccando sul file eseguibile, la vittima installa sul suo computer un programma di accesso remoto (Remote Access Tool, RAT).
Ed ecco un altro esempio di campagna parassitaria sul tema del COVID-19. L'utente riceve una lettera relativa ad un presunto ritardo nella consegna dovuto al coronavirus con allegata una fattura con l'estensione .pdf.ace. All'interno dell'archivio compresso è presente contenuto eseguibile che stabilisce una connessione al server di comando e controllo per ricevere comandi aggiuntivi ed eseguire altri obiettivi dell'aggressore.
Parallax RAT ha una funzionalità simile, che distribuisce un file denominato “nuovo infetto CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif” e che installa un programma dannoso che interagisce con il suo server di comando tramite il protocollo DNS. Strumenti di protezione della classe EDR, un esempio dei quali è e NGFW aiuterà a monitorare le comunicazioni con i server di comando (ad esempio, ) o strumenti di monitoraggio DNS (ad esempio, ).
Nell'esempio seguente, un malware di accesso remoto è stato installato sul computer di una vittima che, per qualche motivo sconosciuto, ha accettato di pubblicizzare che un normale programma antivirus installato su un PC poteva proteggere dal vero COVID-19. E dopo tutto, qualcuno si è innamorato di uno scherzo così apparentemente.
Ma tra i malware ci sono anche cose davvero strane. Ad esempio, file scherzo che emulano il lavoro del ransomware. In un caso, la nostra divisione Cisco Talos un file denominato CoronaVirus.exe, che bloccava lo schermo durante l'esecuzione e avviava un timer e il messaggio "eliminazione di tutti i file e le cartelle su questo computer - coronavirus".
Al termine del conto alla rovescia, il pulsante in basso diventava attivo e quando veniva premuto veniva visualizzato il seguente messaggio, in cui si diceva che era tutto uno scherzo e che bisogna premere Alt+F12 per terminare il programma.
La lotta contro i messaggi di posta dannosi può essere automatizzata, ad esempio, utilizzando , che consente di rilevare non solo i contenuti dannosi negli allegati, ma anche di tenere traccia dei collegamenti di phishing e dei clic su di essi. Ma anche in questo caso non dovreste dimenticare di formare gli utenti e di condurre regolarmente simulazioni di phishing ed esercizi informatici, che prepareranno gli utenti a vari trucchi degli aggressori rivolti contro i vostri utenti. Soprattutto se lavorano in remoto e attraverso la loro posta elettronica personale, il codice dannoso può penetrare nella rete aziendale o dipartimentale. Qui potrei consigliare una nuova soluzione , che consente non solo di condurre micro e nano-formazione del personale su questioni di sicurezza delle informazioni, ma anche di organizzare per loro simulazioni di phishing.
Ma se per qualche motivo non sei pronto a utilizzare tali soluzioni, allora vale almeno la pena organizzare regolari mailing ai tuoi dipendenti con un promemoria del pericolo di phishing, i suoi esempi e un elenco di regole per un comportamento sicuro (l'importante è che gli aggressori non si travestono da loro). A proposito, uno dei rischi attuali sono i messaggi di phishing mascherati da lettere della direzione, in cui si parla presumibilmente di nuove regole e procedure per il lavoro a distanza, di software obbligatorio da installare sui computer remoti, ecc. E non dimenticare che oltre alla posta elettronica, i criminali informatici possono utilizzare la messaggistica istantanea e i social network.
In questo tipo di mailing o programma di sensibilizzazione si può includere anche l’esempio già classico di una falsa mappa dei contagi da coronavirus, simile a quella Università Johns Hopkins. Differenza era che quando si accedeva a un sito di phishing, sul computer dell'utente veniva installato un malware che rubava le informazioni dell'account utente e le inviava ai criminali informatici. Una versione di tale programma creava anche connessioni RDP per l’accesso remoto al computer della vittima.
A proposito, riguardo al RDP. Questo è un altro vettore di attacco che gli aggressori stanno iniziando a utilizzare più attivamente durante la pandemia di coronavirus. Molte aziende, quando passano al lavoro da remoto, utilizzano servizi come RDP, che, se configurati in modo errato per fretta, possono portare gli aggressori ad infiltrarsi sia nei computer degli utenti remoti che all’interno dell’infrastruttura aziendale. Inoltre, anche con una corretta configurazione, varie implementazioni RDP potrebbero presentare vulnerabilità che possono essere sfruttate dagli aggressori. Ad esempio, Cisco Talos numerose vulnerabilità in FreeRDP e, nel maggio dello scorso anno, è stata scoperta una vulnerabilità critica CVE-2019-0708 nel servizio Microsoft Remote Desktop, che consentiva l'esecuzione di codice arbitrario sul computer della vittima, l'introduzione di malware, ecc. È stata persino distribuita una newsletter su di lei e, ad esempio, Cisco Talos raccomandazioni per proteggersi da esso.
C'è un altro esempio di sfruttamento del tema del coronavirus: la minaccia reale di infezione della famiglia della vittima se si rifiutano di pagare il riscatto in bitcoin. Per potenziare l’effetto, dare significato alla lettera e creare un senso di onnipotenza nell’estorsore, nel testo della lettera è stata inserita la password della vittima di uno dei suoi account, ottenuta da database pubblici di login e password.
In uno degli esempi sopra, ho mostrato un messaggio di phishing proveniente dall'Organizzazione Mondiale della Sanità. Ed ecco un altro esempio in cui agli utenti viene chiesto un aiuto economico per combattere il COVID-19 (anche se nell’intestazione del corpo della lettera salta subito all’occhio la parola “DONAZIONE”) e chiedono aiuto in bitcoin per proteggersi monitoraggio della criptovaluta.
E oggi ci sono molti esempi simili che sfruttano la compassione degli utenti:
I Bitcoin sono collegati al COVID-19 in un altro modo. Ad esempio, questo è l'aspetto degli invii ricevuti da molti cittadini britannici che sono seduti a casa e non possono guadagnare denaro (in Russia ora anche questo diventerà rilevante).
Mascherandosi da noti giornali e siti di notizie, questi invii offrono soldi facili estraendo criptovalute su siti speciali. Infatti, dopo un po 'di tempo, ricevi un messaggio che l'importo che hai guadagnato può essere prelevato su un conto speciale, ma prima devi trasferire una piccola quantità di tasse. È chiaro che dopo aver ricevuto questo denaro, i truffatori non trasferiscono nulla in cambio e l'utente ingenuo perde il denaro trasferito.
C’è un’altra minaccia associata all’Organizzazione Mondiale della Sanità. Gli hacker hanno violato le impostazioni DNS dei router D-Link e Linksys, spesso utilizzati da utenti domestici e piccole imprese, per reindirizzarli a un sito Web falso con un avviso pop-up sulla necessità di installare l'app dell'OMS, che li manterrà aggiornato con le ultime notizie sul coronavirus. Inoltre l'applicazione stessa conteneva il programma dannoso Oski, che ruba informazioni.
Un’idea simile con un’applicazione contenente lo stato attuale dell’infezione da COVID-19 viene sfruttata dal trojan Android CovidLock, che viene distribuito tramite un’applicazione presumibilmente “certificata” dal Dipartimento dell’Istruzione degli Stati Uniti, dall’OMS e dal Centro per il controllo dell’epidemia ( CENTRO PER LA PREVENZIONE E IL CONTROLLO DELLE MALATTIE).
Molti utenti oggi si autoisolano e, non volendo o non potendo cucinare, utilizzano attivamente i servizi di consegna di cibo, generi alimentari o altri beni, come la carta igienica. Anche gli aggressori hanno padroneggiato questo vettore per i propri scopi. Ad esempio, questo è l'aspetto di un sito Web dannoso, simile a una risorsa legittima di proprietà di Canada Post. Il collegamento contenuto nell'SMS ricevuto dalla vittima porta a un sito Web che segnala che il prodotto ordinato non può essere consegnato perché mancano solo 3 dollari, che dovranno essere pagati in più. In questo caso l'utente viene indirizzato ad una pagina dove dovrà indicare i dati della sua carta di credito... con tutte le conseguenze che ne conseguono.
In conclusione, vorrei fornire altri due esempi di minacce informatiche legate al COVID-19. Ad esempio, i plugin “COVID-19 Coronavirus - Live Map WordPress Plugin”, “Grafici di previsione della diffusione del coronavirus” o “Covid-19” sono integrati nei siti utilizzando il popolare motore WordPress e, oltre a visualizzare una mappa della diffusione del coronavirus, contengono anche il malware WP-VCD. E la società Zoom, che sulla scia della crescita del numero di eventi online è diventata molto, molto popolare, si è trovata di fronte a quello che gli esperti hanno chiamato “Zoombombing”. Gli aggressori, che in realtà sono normali troll porno, si collegavano a chat e incontri online e mostravano vari video osceni. A proposito, oggi le aziende russe si trovano ad affrontare una minaccia simile.
Penso che la maggior parte di noi controlli regolarmente varie risorse, sia ufficiali che non ufficiali, sullo stato attuale della pandemia. Gli aggressori stanno sfruttando questo argomento, offrendoci le informazioni “più recenti” sul coronavirus, comprese le informazioni “che le autorità vi nascondono”. Ma negli ultimi tempi anche gli utenti comuni hanno spesso aiutato gli aggressori inviando codici di fatti verificati da “conoscenti” e “amici”. Gli psicologi affermano che tale attività degli utenti “allarmisti” che inviano tutto ciò che capita nel loro campo visivo (soprattutto nei social network e nella messaggistica istantanea, che non dispongono di meccanismi di protezione contro tali minacce), permette loro di sentirsi coinvolti nella lotta contro una minaccia globale e, addirittura, ci sentiamo degli eroi che salvano il mondo dal coronavirus. Ma, sfortunatamente, la mancanza di conoscenze specifiche porta al fatto che queste buone intenzioni “portano tutti all’inferno”, creando nuove minacce alla sicurezza informatica e aumentando il numero delle vittime.
Potrei infatti continuare con esempi di minacce informatiche legate al coronavirus; Inoltre, i criminali informatici non si fermano e escogitano sempre nuovi modi per sfruttare le passioni umane. Ma penso che possiamo fermarci qui. Il quadro è già chiaro e ci dice che nel prossimo futuro la situazione non potrà che peggiorare. Ieri le autorità di Mosca hanno messo in autoisolamento la città di dieci milioni di abitanti. Lo stesso hanno fatto le autorità della regione di Mosca e di molte altre regioni della Russia, nonché i nostri vicini più prossimi nell’ex spazio post-sovietico. Ciò significa che il numero di potenziali vittime prese di mira dai criminali informatici aumenterà molte volte. Pertanto, vale la pena non solo riconsiderare la vostra strategia di sicurezza, che fino a poco tempo fa era focalizzata solo sulla protezione di una rete aziendale o dipartimentale, e valutare quali strumenti di protezione vi mancano, ma anche prendere in considerazione gli esempi forniti nel vostro programma di sensibilizzazione del personale, che è diventando una parte importante del sistema di sicurezza delle informazioni per i lavoratori remoti. UN pronto ad aiutarti in questo!
PS. Nella preparazione di questo materiale sono stati utilizzati materiali delle società Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security e RiskIQ, del Dipartimento di Giustizia degli Stati Uniti, Bleeping Computer Resources, SecurityAffairs, ecc.
Fonte: habr.com