Topik koronavirus saiki wis ngisi kabeh feed warta, lan uga dadi leitmotif utama kanggo macem-macem kegiatan penyerang sing nggunakake topik COVID-19 lan kabeh sing ana gandhengane. Ing cathetan iki, aku pengin narik kawigaten sawetara conto saka kegiatan angkoro kuwi, kang, mesthi, ora rahasia kanggo akeh spesialis keamanan informasi, nanging ringkesan kang ing siji cathetan bakal luwih gampang kanggo nyiyapake kesadaran dhewe. -acara mundhakaken kanggo karyawan, sawetara kang bisa mbatalake lan liyane rentan kanggo macem-macem ancaman keamanan informasi saka sadurunge.
A menit saka care saka UFO
Donya wis resmi ngumumake pandemik COVID-19, infeksi pernapasan akut sing bisa abot sing disebabake dening coronavirus SARS-CoV-2 (2019-nCoV). Ana akeh informasi babagan Habré babagan topik iki - elinga manawa bisa dipercaya / migunani lan kosok balene.
Disaranake sampeyan kritis babagan informasi sing diterbitake.
Sumber resmi
- Situs web lan grup resmi kantor pusat operasional ing wilayah kasebut
Yen sampeyan ora manggon ing Rusia, waca situs sing padha ing negara sampeyan.
Cuci tangan, jaga wong sing ditresnani, tetep ing omah yen bisa lan kerja adoh.Maca publikasi babagan: |
Perlu dicathet yen ora ana ancaman anyar sing ana gandhengane karo coronavirus saiki. Nanging, kita ngomong babagan vektor serangan sing wis dadi tradisional, mung digunakake ing "saos" anyar. Dadi, aku bakal nelpon jinis ancaman utama:
- situs phishing lan buletin sing ana gandhengane karo coronavirus lan kode ala sing ana gandhengane
- Penipuan lan disinformasi sing ditujokake kanggo ngeksploitasi rasa wedi utawa informasi sing ora lengkap babagan COVID-19
- serangan marang organisasi sing melu riset koronavirus
Ing Rusia, ing ngendi warga sacara tradisional ora ngandelake panguwasa lan percaya yen dheweke ndhelikake bebener saka wong-wong mau, kemungkinan sukses "promosikake" situs phishing lan mailing list, uga sumber daya penipuan, luwih dhuwur tinimbang ing negara sing luwih mbukak. panguwasa. Sanajan saiki ora ana sing bisa nganggep awake dhewe pancen dilindhungi saka penipu cyber kreatif sing nggunakake kabeh kelemahane manungsa klasik saka wong - rasa wedi, welas asih, srakah, lsp.
Coba, contone, situs penipuan sing adol topeng medis.
Situs sing padha, CoronavirusMedicalkit[.]com, ditutup dening panguwasa AS amarga nyebarake vaksin COVID-19 sing ora ana kanthi gratis kanthi kiriman "mung" kanggo ngirim obat kasebut. Ing kasus iki, kanthi rega sing murah, pitungan kasebut kanggo panjaluk obat kasebut kanthi cepet ing kahanan panik ing Amerika Serikat.
Iki dudu ancaman cyber klasik, amarga tugas para panyerang ing kasus iki ora nginfèksi pangguna utawa nyolong data pribadhi utawa informasi identifikasi, nanging mung ing gelombang rasa wedi kanggo meksa dheweke metu lan tuku topeng medis kanthi rega sing mundhak. dening 5-10-30 kaping ngluwihi biaya nyata. Nanging ide nggawe situs web palsu sing ngeksploitasi tema koronavirus uga digunakake dening para penjahat cyber. Contone, ing kene ana situs sing jenenge ngemot tembung kunci "covid19", nanging uga minangka situs phishing.
Umumé, saben dina ngawasi layanan investigasi insiden , sampeyan ndeleng pira domain sing digawe sing jenenge ngemot tembung covid, covid19, coronavirus, lsp. Lan akeh sing jahat.
Ing lingkungan ing ngendi sawetara karyawan perusahaan dipindhah menyang omah lan ora dilindhungi dening langkah-langkah keamanan perusahaan, luwih penting tinimbang sadurunge kanggo ngawasi sumber daya sing diakses saka piranti seluler lan desktop karyawan, kanthi sengaja utawa tanpa. kawruh. Yen sampeyan ora nggunakake layanan kanggo ndeteksi lan mblokir domain kasebut (lan Cisco sambungan menyang layanan iki saiki gratis), banjur paling sethithik atur solusi pemantauan akses Web kanggo ngawasi domain kanthi tembung kunci sing cocog. Ing wektu sing padha, elinga yen pendekatan tradisional kanggo daftar ireng domain, uga nggunakake basis data reputasi, bisa gagal, amarga domain angkoro digawe kanthi cepet lan mung digunakake ing 1-2 serangan ora luwih saka sawetara jam - banjur penyerang ngalih menyang domain ephemeral anyar. Perusahaan keamanan informasi mung ora duwe wektu kanggo nganyari basis pengetahuan kanthi cepet lan disebarake menyang kabeh klien.
Penyerang terus aktif ngeksploitasi saluran email kanggo nyebarake tautan phishing lan malware ing lampiran. Lan efektifitase cukup dhuwur, amarga pangguna, nalika nampa surat kabar sing sah babagan coronavirus, ora bisa ngerteni manawa ana sing ala. Lan nalika jumlah wong sing kena infeksi saya tambah akeh, macem-macem ancaman kasebut uga bakal tuwuh.
Contone, iki kaya conto email phishing atas jenenge CDC:
Sawise link kasebut, mesthi ora ngarah menyang situs web CDC, nanging menyang kaca palsu sing nyolong login lan sandhi korban:
Iki minangka conto email phishing sing diduga atas jenenge Organisasi Kesehatan Dunia:
Lan ing conto iki, para panyerang ngetung kasunyatan manawa akeh wong sing percaya manawa panguwasa ndhelikake ukuran infeksi sing sejatine saka wong-wong mau, mula pangguna kanthi seneng lan meh tanpa ragu-ragu ngeklik jinis surat kasebut kanthi tautan utawa lampiran sing mbebayani. mesthine bakal mbukak kabeh rahasia.
Miturut cara, ana situs kasebut , sing ngidini sampeyan nglacak macem-macem indikator, contone, kematian, jumlah perokok, populasi ing macem-macem negara, lsp. Situs web kasebut uga duwe kaca khusus kanggo coronavirus. Dadi nalika aku lunga menyang tanggal 16 Maret, aku ndeleng kaca sing sedhela nggawe aku mangu-mangu manawa panguwasa ngandhani apa sing bener (aku ora ngerti apa sebabe nomer kasebut, mbok menawa mung kesalahan):
Salah sawijining infrastruktur populer sing digunakake panyerang kanggo ngirim email sing padha yaiku Emotet, salah sawijining ancaman paling mbebayani lan populer ing jaman saiki. Dokumen Word sing ditempelake ing pesen email ngemot pangunduh Emotet, sing ngemot modul ala anyar menyang komputer korban. Emotet wiwitane digunakake kanggo promosi link menyang situs penipuan sing adol topeng medis, target warga Jepang. Ing ngisor iki sampeyan ndeleng asil nganalisa file ala nggunakake sandboxing , kang nganalisa file kanggo maliciousness.
Nanging panyerang ngeksploitasi ora mung kemampuan kanggo diluncurake ing MS Word, nanging uga ing aplikasi Microsoft liyane, contone, ing MS Excel (kayata klompok peretas APT36 tumindak), ngirim rekomendasi kanggo nglawan koronavirus saka Pamrentah India sing ngemot Crimson. TIKUS:
Kampanye jahat liyane sing ngeksploitasi tema koronavirus yaiku Nanocore RAT, sing ngidini sampeyan nginstal program ing komputer korban kanggo akses remot, nyegat stroke keyboard, njupuk gambar layar, ngakses file, lsp.
Lan Nanocore RAT biasane dikirim dening e-mail. Contone, ing ngisor iki sampeyan ndeleng conto pesen email karo arsip ZIP sing dilampirake sing ngemot file PIF sing bisa dieksekusi. Kanthi ngeklik file sing bisa dieksekusi, korban nginstal program akses remot (Remote Access Tool, RAT) ing komputer.
Iki minangka conto liyane saka parasit kampanye babagan topik COVID-19. Pangguna nampa layang babagan wektu tundha pangiriman amarga koronavirus kanthi invoice sing dilampirake kanthi ekstensi .pdf.ace. Ing jero arsip sing dikompres ana konten sing bisa dieksekusi sing nggawe sambungan menyang server perintah lan kontrol kanggo nampa perintah tambahan lan nindakake tujuan penyerang liyane.
Parallax RAT nduweni fungsi sing padha, sing nyebarake file kanthi jeneng "langit CORONAVIRUS sing kena infeksi anyar 03.02.2020/XNUMX/XNUMX.pif" lan nginstal program jahat sing sesambungan karo server printah liwat protokol DNS. Piranti perlindungan kelas EDR, contone yaiku , lan NGFW bakal mbantu ngawasi komunikasi karo server komando (contone, ), utawa alat ngawasi DNS (contone, ).
Ing conto ing ngisor iki, malware akses remot diinstal ing komputer korban sing, amarga alasan sing ora dingerteni, tuku pariwara manawa program antivirus biasa sing diinstal ing PC bisa nglindhungi saka COVID-19 sing nyata. Lan sawise kabeh, ana wong sing seneng guyon kaya ngono.
Nanging ing antarane malware uga ana sawetara perkara sing aneh. Contone, file lelucon sing niru karya ransomware. Ing kasus, divisi Cisco Talos kita file sing jenenge CoronaVirus.exe, sing mblokir layar sajrone eksekusi lan miwiti timer lan pesen "mbusak kabeh file lan folder ing komputer iki - coronavirus."
Sawise countdown rampung, tombol ing sisih ngisor dadi aktif lan nalika dipencet, pesen ing ngisor iki ditampilake, ujar manawa iki kabeh guyon lan sampeyan kudu menet Alt + F12 kanggo mungkasi program.
Perang nglawan mailings angkoro bisa otomatis, contone, nggunakake , sing ngijini sampeyan kanggo ndeteksi ora mung isi angkoro ing lampiran, nanging uga nglacak pranala phishing lan klik ing. Nanging sanajan ing kasus iki, sampeyan ora kudu lali babagan latihan pangguna lan rutin nganakake simulasi phishing lan latihan cyber, sing bakal nyiapake pangguna kanggo macem-macem trik penyerang sing ditujokake marang pangguna. Utamane yen dheweke kerja adoh lan liwat email pribadi, kode jahat bisa nembus menyang jaringan perusahaan utawa departemen. Ing kene aku bisa menehi rekomendasi solusi anyar , sing ngidini ora mung nindakake pelatihan mikro lan nano personel babagan masalah keamanan informasi, nanging uga kanggo ngatur simulasi phishing kanggo wong-wong mau.
Nanging yen sakperangan alesan sampeyan ora siyap kanggo nggunakake solusi kuwi, iku worth paling ora ngatur mailings biasa kanggo karyawan karo pangeling saka bebaya phishing, conto lan dhaptar aturan kanggo prilaku aman (ingkang utama iku penyerang ora nyamar dadi wong-wong mau). Miturut cara, salah sawijining risiko sing bisa ditindakake saiki yaiku mailing phishing sing nyamar minangka surat saka manajemen sampeyan, sing diduga ngomong babagan aturan lan tata cara anyar kanggo kerja remot, piranti lunak wajib sing kudu diinstal ing komputer remot, lsp. Lan aja lali yen saliyane email, penjahat cyber bisa nggunakake pesen cepet lan jaringan sosial.
Ing program mailing utawa nambah kesadaran iki, sampeyan uga bisa nyakup conto sing wis klasik saka peta infeksi koronavirus palsu, sing padha karo sing ana. Universitas Johns Hopkins. prabédan yaiku nalika ngakses situs phishing, malware diinstal ing komputer pangguna, sing nyolong informasi akun pangguna lan dikirim menyang cybercriminals. Siji versi program kasebut uga nggawe sambungan RDP kanggo akses remot menyang komputer korban.
Miturut cara, babagan RDP. Iki minangka vektor serangan liyane sing wiwit digunakake para penyerang kanthi luwih aktif sajrone pandemi koronavirus. Akeh perusahaan, nalika ngalih menyang kerja remot, nggunakake layanan kayata RDP, sing, yen ora dikonfigurasi amarga kesusu, bisa nyebabake panyerang nyusup ing komputer pangguna sing adoh lan ing infrastruktur perusahaan. Kajaba iku, sanajan kanthi konfigurasi sing bener, macem-macem implementasi RDP bisa uga duwe kerentanan sing bisa dimanfaatake dening panyerang. Contone, Cisco Talos macem-macem kerentanan ing FreeRDP, lan ing Mei taun kepungkur, kerentanan kritis CVE-2019-0708 ditemokake ing layanan Microsoft Remote Desktop, sing ngidini kode sewenang-wenang bisa dieksekusi ing komputer korban, malware sing bakal dikenalake, lsp. Buletin babagan dheweke malah disebarake , lan, contone, Cisco Talos Rekomendasi kanggo pangayoman marang iku.
Ana conto liyane babagan eksploitasi tema koronavirus - ancaman nyata infeksi kulawarga korban yen ora gelem mbayar tebusan ing bitcoins. Kanggo nambah efek kasebut, kanggo menehi makna huruf lan nggawe rasa omnipotence saka extortionist, sandhi korban saka salah sawijining akun, sing dipikolehi saka database umum login lan sandhi, dilebokake ing teks surat kasebut.
Ing salah sawijining conto ing ndhuwur, aku nuduhake pesen phishing saka Organisasi Kesehatan Dunia. Lan iki conto liyane ing ngendi pangguna dijaluk bantuan finansial kanggo nglawan COVID-19 (sanajan ing header ing awak surat kasebut, tembung "DONASI" langsung katon). nelusuri cryptocurrency.
Lan saiki ana akeh conto sing ngeksploitasi karep pangguna:
Bitcoins ana hubungane karo COVID-19 kanthi cara liya. Contone, iki minangka kiriman sing ditampa dening akeh warga Inggris sing lungguh ing omah lan ora bisa entuk dhuwit (ing Rusia saiki uga bakal relevan).
Masquerading minangka koran lan situs warta kondhang, mailings iki nawakake dhuwit gampang dening mining cryptocurrencies ing situs khusus. Nyatane, sawise sawetara wektu, sampeyan nampa pesen yen jumlah sing sampeyan entuk bisa ditarik menyang akun khusus, nanging sampeyan kudu nransfer pajak cilik sadurunge. Cetha yen sawise nampa dhuwit iki, scammers ora nransfer apa-apa ing bali, lan pangguna goblok ilang dhuwit ditransfer.
Ana ancaman liyane sing ana gandhengane karo Organisasi Kesehatan Dunia. Peretas nyusup setelan DNS router D-Link lan Linksys, sing asring digunakake dening pangguna ing omah lan bisnis cilik, supaya bisa ngarahake menyang situs web palsu kanthi peringatan pop-up babagan kudu nginstal aplikasi WHO, sing bakal tetep. up to date karo kabar paling anyar babagan coronavirus. Kajaba iku, aplikasi kasebut ngemot program jahat Oski, sing nyolong informasi.
Gagasan sing padha karo aplikasi sing ngemot status infeksi COVID-19 saiki dieksploitasi dening Android Trojan CovidLock, sing disebarake liwat aplikasi sing mesthine "disertifikasi" dening Departemen Pendidikan AS, WHO lan Pusat Kontrol Epidemik ( CDC).
Akeh pangguna saiki wis mandhiri lan, ora gelem utawa ora bisa masak, aktif nggunakake layanan pangiriman kanggo panganan, sembako utawa barang liyane, kayata kertas jamban. Penyerang uga wis nguwasani vektor iki kanggo tujuane dhewe. Contone, iki kaya situs web angkoro, padha karo sumber daya sing sah sing diduweni dening Canada Post. Link saka SMS sing ditampa dening korban ndadékaké menyang situs web sing nglaporake manawa produk sing dipesen ora bisa dikirim amarga mung $ 3 sing ilang, sing kudu dibayar ekstra. Ing kasus iki, pangguna diarahake menyang kaca sing kudu nuduhake rincian kertu kredite... karo kabeh akibat sing bakal ditindakake.
Kesimpulane, aku pengin menehi rong conto liyane ancaman cyber sing ana gandhengane karo COVID-19. Contone, plugin "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" utawa "Covid-19" dibangun ing situs nggunakake mesin WordPress populer lan, bebarengan karo nampilake peta panyebaran coronavirus, uga ngemot malware WP-VCD. Lan perusahaan Zoom, sing, amarga tuwuhing jumlah acara online, dadi populer banget, ngadhepi pakar sing diarani "Zoombombing." Para panyerang, nanging nyatane troll porno biasa, disambungake menyang obrolan online lan rapat online lan nuduhake macem-macem video saru. Miturut cara, ancaman sing padha ditemoni saiki dening perusahaan Rusia.
Aku mikir umume kita mriksa macem-macem sumber daya, resmi lan ora resmi, babagan status pandemi saiki. Penyerang ngeksploitasi topik iki, menehi informasi "paling anyar" babagan coronavirus, kalebu informasi "sing didhelikake panguwasa saka sampeyan." Nanging malah pangguna biasa biasa bubar asring mbantu panyerang kanthi ngirim kode fakta sing wis diverifikasi saka "kenalan" lan "kanca". Psikolog ujar manawa aktivitas pangguna "alarmist" sing ngirim kabeh sing ana ing bidang penglihatan (utamane ing jaringan sosial lan utusan cepet, sing ora duwe mekanisme perlindungan marang ancaman kasebut), ngidini dheweke rumangsa melu perang. ancaman global lan, malah rumangsa kaya pahlawan sing nylametake jagad saka coronavirus. Nanging, sayangé, kekurangan kawruh khusus ndadékaké kasunyatan sing niat apik iki "mimpin kabeh wong menyang neraka," nggawe ancaman cybersecurity anyar lan ngembangaken jumlah korban.
Nyatane, aku bisa nerusake conto ancaman cyber sing ana gandhengane karo coronavirus; Kajaba iku, cybercriminals ora mandheg lan nggawe cara anyar kanggo ngeksploitasi hawa nafsu manungsa. Nanging aku rumangsa bisa mandheg ing kana. Gambar kasebut wis jelas lan ngandhani yen ing mangsa ngarep kahanan bakal saya tambah parah. Wingi, panguwasa Moskow nempatake kutha sepuluh yuta wong kanthi mandhiri. Panguwasa wilayah Moskow lan akeh wilayah liyane ing Rusia, uga tetanggan sing paling cedhak ing tilas ruang pasca-Soviet, nindakake perkara sing padha. Iki tegese jumlah korban potensial sing ditargetake para penjahat siber bakal mundhak kaping pirang-pirang. Mulane, ora mung kudu dipikirake maneh strategi keamanan sampeyan, sing nganti saiki fokus kanggo nglindhungi mung jaringan perusahaan utawa departemen, lan ngevaluasi alat proteksi apa sing sampeyan kekurangan, nanging uga njupuk conto sing diwenehake ing program kesadaran personel sampeyan, yaiku dadi bagean penting saka sistem keamanan informasi kanggo buruh remot. A siap kanggo mbantu karo iki!
PS. Kanggo nyiapake materi iki, bahan saka Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security lan perusahaan RiskIQ, Departemen Kehakiman AS, sumber daya Bleeping Computer, SecurityAffairs, lsp.
Source: www.habr.com