D'Thema vum Coronavirus haut huet all Newsfeeds gefëllt, an ass och den Haaptleitmotiv fir verschidden Aktivitéite vun Ugräifer ginn, déi d'Thema vum COVID-19 ausnotzen an alles wat domat verbonnen ass. An dëser Notiz wëll ech op e puer Beispiller vun esou béiswëlleg Aktivitéit opmierksam maachen, wat natierlech fir vill Informatiounssécherheetsspezialisten kee Geheimnis ass, awer de Resumé vun deem an enger Notiz wäert et méi einfach maachen Äert eegent Bewosstsinn ze preparéieren -Erzéihung vun Eventer fir Mataarbechter, vun deenen e puer op afstand schaffen an anerer méi ufälleg fir verschidden Informatiounssécherheetsbedrohungen wéi virdrun.
Eng Minutt Betreiung vun engem UFO
D'Welt huet offiziell eng Pandemie vum COVID-19 deklaréiert, eng potenziell schwéier akut Atmungsinfektioun verursaacht vum SARS-CoV-2 Coronavirus (2019-nCoV). Et gëtt vill Informatioun iwwer Habré iwwer dëst Thema - ëmmer drun erënneren datt et souwuel zouverlässeg / nëtzlech ka sinn a vice versa.
Mir encouragéieren Iech kritesch ze sinn iwwer all publizéiert Informatioun.
Offiziell Quellen
- Websäiten an offiziell Gruppe vun operationell Sëtz an de Regiounen
Wann Dir net a Russland wunnt, kuckt w.e.g. op ähnlech Siten an Ärem Land.
Wäscht Är Hänn, këmmert sech ëm Är Léifsten, bleift doheem wa méiglech a schafft op Distanz.Liest Publikatiounen iwwer: |
Et sollt bemierkt ginn datt et haut keng komplett nei Gefore mam Coronavirus assoziéiert ginn. Mir schwätzen éischter vun Attackvektoren déi scho traditionell ginn, einfach an enger neier "Zooss" benotzt. Also, ech géif déi Schlësselaarte vu Bedrohungen nennen:
- Phishing Siten an Newslettere am Zesummenhang mam Coronavirus a verwandte béise Code
- Bedruch an Desinformatioun zielt Angscht auszenotzen oder onkomplett Informatioun iwwer COVID-19
- Attacke géint Organisatiounen, déi an der Coronavirus Fuerschung involvéiert sinn
A Russland, wou d'Bierger traditionell d'Autoritéiten net trauen a gleewen datt se d'Wourecht vun hinnen verstoppen, ass d'Wahrscheinlechkeet fir erfollegräich "Promotioun" vu Phishing-Siten a Mailinglëschten, wéi och betrügeresch Ressourcen, vill méi héich wéi a Länner mat méi oppenen Autoritéiten. Och wann haut keen sech absolut geschützt vu kreativen Cyber-Betrüger betruechte kann, déi all klassesch mënschlech Schwächen vun enger Persoun benotzen - Angscht, Matgefill, Gier, etc.
Huelt zum Beispill e betrügeresche Site dee medizinesch Masken verkaaft.
En ähnleche Site, CoronavirusMedicalkit[.]com, gouf vun den US Autoritéiten zougemaach fir eng net existent COVID-19 Impfung gratis mat "nëmmen" Porto ze verdeelen fir d'Medizin ze verschécken. An dësem Fall, mat esou engem niddrege Präis, war d'Berechnung fir d'Rush Nofro fir d'Medizin a Panikbedingungen an den USA.
Dëst ass keng klassesch Cyber Bedrohung, well d'Aufgab vun den Ugräifer an dësem Fall ass net d'Benotzer ze infizéieren oder hir perséinlech Donnéeën oder Identifikatiounsinformatiounen ze klauen, mee einfach op der Welle vun Angscht ze zwéngen se ze forcéieren a medizinesch Masken zu héich Präisser ze kafen duerch 5-10-30 Mol déi tatsächlech Käschten iwwerschreiden. Awer déi ganz Iddi fir eng falsch Websäit ze kreéieren déi d'Coronavirus Thema ausnotzt gëtt och vun Cyberkriminelle benotzt. Zum Beispill, hei ass e Site deem säin Numm de Schlësselwuert "covid19" enthält, awer deen och e Phishing Site ass.
Am Allgemengen, alldeeglech Iwwerwaachung vun eisem Incident Enquête Service , Dir gesitt wéivill Domainen erstallt ginn, deenen hir Nimm d'Wierder covid, covid19, coronavirus, etc. A vill vun hinnen si béiswëlleg.
An engem Ëmfeld wou e puer vun de Mataarbechter vun der Firma op d'Aarbecht vun doheem transferéiert ginn a se net vu Firmesécherheetsmoossname geschützt sinn, ass et méi wichteg wéi jee d'Ressourcen ze iwwerwaachen, déi vun de Mataarbechter hir mobilen an Desktop-Apparater zougänglech sinn, bewosst oder ouni hir Wëssen. Wann Dir de Service net benotzt fir esou Domainen z'entdecken an ze blockéieren (a Cisco Verbindung zu dësem Service ass elo gratis), da konfiguréiert op e Minimum Är Web Access Iwwerwachungsléisungen fir Domainen mat relevante Schlësselwieder ze iwwerwaachen. Zur selwechter Zäit, erënnert datt d'traditionell Approche fir d'Blacklisting vun Domainen, souwéi d'Benotzung vu Reputatiounsdatenbanken, ka falen, well béiswëlleg Domainen ganz séier erstallt ginn an an nëmmen 1-2 Attacke fir net méi laang wéi e puer Stonnen benotzt ginn - dann Ugräifer wiesselen op nei ephemeral Domains. Informatiounssécherheetsfirmen hunn einfach keng Zäit fir hir Wëssensbasis séier ze aktualiséieren an un all hir Clienten ze verdeelen.
Ugräifer weider aktiv den E-Mail Kanal auszenotzen fir Phishing Links a Malware an Uschlëss ze verdeelen. An hir Effizienz ass zimmlech héich, well d'Benotzer, wärend se komplett legal Newsmailings iwwer de Coronavirus kréien, net ëmmer eppes béiswëlleg an hirem Volume erkennen. A wärend d'Zuel vun de infizéierte Leit nëmme wiisst, wäert d'Gamme vu sou Bedrohungen och nëmme wuessen.
Zum Beispill, dëst ass wéi e Beispill vun enger Phishing-E-Mail am Numm vun der CDC ausgesäit:
De Link verfollegen féiert natierlech net op d'CDC Websäit, mee op eng gefälscht Säit déi de Login a Passwuert vum Affer klaut:
Hei ass e Beispill vun enger Phishing-E-Mail, déi angeblech am Numm vun der Weltgesondheetsorganisatioun ass:
An an dësem Beispill zielen d'Ugräifer op d'Tatsaach, datt vill Leit gleewen datt d'Autoritéiten déi richteg Skala vun der Infektioun vun hinnen verstoppen, an dofir klickt d'Benotzer glécklech a bal ouni ze zécken op dës Aarte vu Bréiwer mat béiswëlleg Linken oder Uschlëss, déi vermeintlech wäert all d'Geheimnisser opzeweisen.
Iwwregens gëtt et esou e Site , wat Iech erlaabt verschidde Indicateuren ze verfolgen, zum Beispill, Mortalitéit, d'Zuel vun de Fëmmerten, d'Bevëlkerung a verschiddene Länner, etc. D'Websäit huet och eng Säit gewidmet fir de Coronavirus. An also wéi ech de 16. Mäerz dohinner gaange sinn, hunn ech eng Säit gesinn, déi mech e Moment bezweifelt huet datt d'Autoritéiten eis d'Wourecht soen (ech weess net wat de Grond fir dës Zuelen ass, vläicht just e Feeler):
Ee vun de populäersten Infrastrukturen déi Ugräifer benotze fir ähnlech E-Mailen ze schécken ass Emotet, eng vun de geféierlechsten a populärsten Bedrohungen aus der leschter Zäit. Word-Dokumenter, déi un E-Mail Messagen verbonne sinn, enthalen Emotet Downloader, déi nei béiswëlleg Moduler op de Computer vum Affer lueden. Emotet gouf am Ufank benotzt fir Linken op betrügeresch Siten ze promoten déi medizinesch Masken verkaafen, a viséiert op Awunner vu Japan. Hei ënnen gesitt Dir d'Resultat vun der Analyse vun enger béiswëlleger Datei mat Sandboxing , déi Dateie fir Béiswëllegkeet analyséiert.
Awer Ugräifer exploitéieren net nëmmen d'Fäegkeet fir am MS Word ze lancéieren, awer och an anere Microsoft Uwendungen, zum Beispill an MS Excel (dëst ass wéi d'APT36 Hacker Grupp gehandelt huet), schéckt Empfehlungen iwwer d'Bekämpfung vum Coronavirus vun der Regierung vun Indien mat Crimson RAT:
Eng aner béiswëlleg Kampagne déi d'Coronavirus Thema ausnotzt ass Nanocore RAT, wat Iech erlaabt Programmer op Affercomputer ze installéieren fir Fernzougang, Tastaturschlag offangen, Bildschirmbilder ophuelen, Zougang zu Dateien, etc.
An Nanocore RAT gëtt normalerweis per E-Mail geliwwert. Zum Beispill, hei ënnen gesitt Dir e Beispill Mail Message mat engem befestegt ZIP Archiv deen eng ausführbar PIF Datei enthält. Andeems Dir op déi ausführbar Datei klickt, installéiert d'Affer e Remote Access Programm (Remote Access Tool, RAT) op sengem Computer.
Hei ass en anert Beispill vun enger Kampagne parasitär zum Thema COVID-19. De Benotzer kritt e Bréif iwwer eng vermeintlech Liwwerungsverspéidung wéinst dem Coronavirus mat enger Rechnung mat der Erweiderung .pdf.ace. Am kompriméierten Archiv ass ausführbaren Inhalt deen eng Verbindung mam Kommando- a Kontrollserver erstellt fir zousätzlech Kommandoen ze kréien an aner Ugräiferziler auszeféieren.
Parallax RAT huet ähnlech Funktionalitéit, déi e Fichier mam Numm "nei infizéiert CORONAVIRUS Himmel 03.02.2020/XNUMX/XNUMX.pif" verdeelt an déi e béiswëlleg Programm installéiert deen mat sengem Kommandoserver iwwer den DNS-Protokoll interagéiert. EDR Klass Schutz Handwierksgeschir, e Beispill vun deem ass , an entweder NGFW wäert hëllefen d'Kommunikatioune mat Kommandoserveren ze iwwerwaachen (zum Beispill, ), oder DNS Iwwerwaachungsinstrumenter (z.B. ).
Am Beispill hei drënner gouf Remote Access Malware um Computer vun engem Affer installéiert, deen aus engem onbekannte Grond fir Reklammen kaaft huet, datt e reegelméissegen Antivirus Programm op engem PC installéiert ka géint echte COVID-19 schützen. An schliisslech ass een fir sou e scheinbar Witz gefall.
Awer ënner Malware ginn et och e puer wierklech komesch Saachen. Zum Beispill Witzdateien déi d'Aarbecht vu Ransomware emuléieren. An engem Fall, eis Cisco Talos Divisioun e Fichier mam Numm CoronaVirus.exe, deen den Écran wärend der Ausféierung blockéiert huet an en Timer gestart huet an de Message "all Dateien an Ordner op dësem Computer läschen - Coronavirus."
Nom Ofschloss vum Countdown gouf de Knäppchen ënnen aktiv a wann Dir dréckt, gouf de folgende Message ugewisen, dee seet datt dëst alles e Witz wier an datt Dir Alt+F12 dréckt fir de Programm ofzeschléissen.
De Kampf géint béiswëlleg Mailings kann automatiséiert ginn, zum Beispill, benotzt , wat Iech erlaabt net nëmme béiswëlleg Inhalter an Uschlëss z'entdecken, awer och Phishing Links ze verfolgen a klickt op hinnen. Awer och an dësem Fall sollt Dir net vergiessen d'Benotzer ze trainéieren a regelméisseg Phishing-Simulatiounen a Cyber-Übungen ze maachen, déi d'Benotzer op verschidden Tricken vun Ugräifer virbereeden géint Är Benotzer. Besonnesch wa se op afstand an duerch hir perséinlech E-Mail schaffen, kann béiswëlleg Code an de Firmen- oder Departementsnetz penetréieren. Hei kéint ech eng nei Léisung recommandéieren , wat et erlaabt net nëmmen d'Mikro- an d'Nano-Formatioun vum Personal iwwer Informatiounssécherheetsprobleemer ze maachen, awer och Phishing Simulatioune fir si ze organiséieren.
Awer wann Dir aus irgendege Grënn net bereet sidd esou Léisungen ze benotzen, ass et derwäert op d'mannst regelméisseg Mailings un Är Mataarbechter ze organiséieren mat enger Erënnerung un d'Phishing-Gefor, seng Beispiller an eng Lëscht vu Reegele fir séchert Verhalen (den Haapt Saach ass datt Ugräifer verkleeden sech net als si ). Iwwregens, ee vun de méigleche Risiken am Moment ass Phishing Mailings, déi sech als Bréiwer vun Ärer Gestioun verkleeden, déi angeblech iwwer nei Reegelen a Prozedure fir Fernaarbecht schwätzen, obligatoresch Software déi op Ferncomputer installéiert muss ginn, etc. A vergiesst net datt nieft der E-Mail Cyberkrimineller Instant Messenger a sozial Netzwierker benotze kënnen.
An dëser Aart vu Mailing oder Sensibiliséierungsprogramm kënnt Dir och dat scho klassescht Beispill vun enger falscher Coronavirus Infektiounskaart enthalen, déi ähnlech wéi déi war Johns Hopkins Universitéit. Ënnerscheed war, datt wann Zougang zu engem phishing Site, Malware op de Benotzer d'Computer installéiert gouf, déi Benotzerkont Informatiounen geklaut an et un Cyberkriminelle geschéckt. Eng Versioun vun esou engem Programm huet och RDP Verbindungen erstallt fir Remote Zougang zum Computer vum Affer.
Iwwregens iwwer RDP. Dëst ass en aneren Attackvektor deen Ugräifer ufänken méi aktiv wärend der Coronavirus Pandemie ze benotzen. Vill Firmen, wann se op Fernaarbecht wiesselen, benotze Servicer wéi RDP, déi, wann se falsch konfiguréiert sinn wéinst dem Haast, zu Ugräifer féieren, déi souwuel Fernbenotzer Computeren an an der Firmeninfrastruktur infiltréieren. Ausserdeem, och mat der korrekter Konfiguratioun, kënne verschidde RDP-Implementatiounen Schwächen hunn, déi vun Ugräifer exploitéiert kënne ginn. Zum Beispill, Cisco Talos multiple Schwachstelle am FreeRDP, an am Mee d'lescht Joer gouf eng kritesch Schwachstelle CVE-2019-0708 am Microsoft Remote Desktop Service entdeckt, wat erlaabt arbiträr Code um Computer vum Affer auszeféieren, Malware agefouert ze ginn, etc. En Newsletter iwwer si gouf souguer verdeelt , an zum Beispill Cisco Talos Recommandatiounen fir Schutz géint et.
Et gëtt en anert Beispill vun der Ausbeutung vum Coronavirus Thema - déi reell Bedrohung vun der Infektioun vun der Famill vum Affer wa se refuséieren d'Léisegeld a Bitcoins ze bezuelen. Fir den Effet ze verbesseren, de Bréif Bedeitung ze ginn an e Gefill vun Allmuecht vum Erpresser ze kreéieren, gouf d'Passwuert vum Affer aus engem vu senge Konten, aus ëffentlechen Datenbanken vu Login a Passwierder, an den Text vum Bréif agefouert.
An engem vun de Beispiller hei uewen hunn ech e Phishing Message vun der Weltgesondheetsorganisatioun gewisen. An hei ass en anert Beispill an deem d'Benotzer gefrot gi fir finanziell Hëllef fir géint COVID-19 ze bekämpfen (obwuel am Header am Kierper vum Bréif direkt d'Wuert "DONATIOUN" bemierkbar ass). A si froen Hëllef bei Bitcoins fir géint ze schützen cryptocurrency Tracking.
An haut ginn et vill esou Beispiller, déi d'Matgefill vun de Benotzer ausnotzen:
Bitcoins si mat COVID-19 op eng aner Manéier verbonnen. Zum Beispill, dat ass wéi d'Mailings, déi vu ville briteschen Bierger, déi doheem sëtzen a keng Sue verdénge kënnen, ausgesinn (a Russland wäert dat och relevant ginn).
Masquerading als bekannten Zeitungen an Neiegkeeten Siten, dës Mailings bidden einfach Suen duerch d'Mining cryptocurrency op spezielle Siten. Tatsächlech, no enger Zäit, kritt Dir e Message, datt de Betrag deen Dir verdéngt hutt, op e spezielle Kont zréckgezunn ka ginn, awer Dir musst e klenge Betrag u Steieren iwwerdroen ier dat. Et ass kloer datt nodeems se dës Sue kritt hunn, d'Scammers näischt zréckginn, an de gullible Benotzer verléiert dat transferéierte Suen.
Et gëtt eng aner Bedrohung mat der Weltgesondheetsorganisatioun assoziéiert. Hacker hunn d'DNS-Astellunge vun D-Link a Linksys Router gehackt, dacks vun Heembenotzer a klenge Betriber benotzt, fir se op eng gefälschte Websäit mat enger Pop-up Warnung iwwer d'Noutwennegkeet vun der WHO App z'installéieren, déi se behalen. aktuell mat de leschten Neiegkeeten iwwer de Coronavirus. Ausserdeem enthält d'Applikatioun selwer de béise Programm Oski, deen Informatioun klaut.
Eng ähnlech Iddi mat enger Applikatioun déi den aktuelle Status vun der COVID-19 Infektioun enthält gëtt vum Android Trojan CovidLock ausgenotzt, deen duerch eng Applikatioun verdeelt gëtt, déi vermeintlech "zertifizéiert" ass vum US Department of Education, WHO an dem Center for Epidemic Control ( CDC).
Vill Benotzer sinn haut a Selbstisolatioun an, net wëllen oder net kachen, benotzen aktiv Liwwerservicer fir Iessen, Epicerie oder aner Wueren, wéi Toilettepabeier. Ugräifer hunn och dëse Vektor fir hir eegen Zwecker beherrscht. Zum Beispill, dëst ass wéi eng béiswëlleg Websäit ausgesäit, ähnlech wéi eng legitim Ressource am Besëtz vu Canada Post. De Link vun der SMS kritt vum Affer féiert op eng Websäit déi bericht datt de bestallte Produkt net geliwwert ka ginn, well nëmmen 3 $ fehlen, déi extra bezuelt musse ginn. An dësem Fall gëtt de Benotzer op eng Säit geleet, wou hien d'Detailer vu senger Kreditkaart muss uginn ... mat all de Konsequenzen.
Als Conclusioun wëll ech nach zwee Beispiller vu Cyber-Bedrohungen am Zesummenhang mam COVID-19 ginn. Zum Beispill sinn d'Plugins "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" oder "Covid-19" a Site agebaut mat dem populäre WordPress Motor an, zesumme mat enger Kaart vun der Verbreedung vun der Coronavirus, enthalen och d'WP-VCD Malware. An d'Firma Zoom, déi, nom Wuesstum vun der Unzuel vun Online Eventer, ganz, ganz populär gouf, gouf konfrontéiert mat deem wat Experten "Zoombombing" genannt hunn. D'Ugräifer, awer tatsächlech gewéinlech Porno-Trollen, hu sech mat Online-Chats an Online-Versammlungen verbonnen an hunn verschidden obszöne Videoe gewisen. Iwwregens, eng ähnlech Bedrohung gëtt haut russesch Firmen begéint.
Ech denken, datt déi meescht vun eis regelméisseg verschidde Ressourcen iwwerpréiwen, souwuel offiziell wéi net sou offiziell, iwwer den aktuelle Status vun der Pandemie. Ugräifer exploitéieren dëst Thema, bidden eis déi "läscht" Informatioun iwwer de Coronavirus, dorënner Informatioun "déi d'Autoritéite vun Iech verstoppen." Awer och gewéinlech gewéinlech Benotzer hu viru kuerzem dacks Ugräifer gehollef andeems se Coden vu verifizéierte Fakte vu "Bekannten" a "Frënn" schécken. Psychologen soen datt sou Aktivitéit vun "alarmistesche" Benotzer, déi alles ausschécken, wat an hirem Visiounsfeld kënnt (besonnesch a sozialen Netzwierker an Instant Messenger, déi keng Schutzmechanismen géint esou Gefore hunn), erlaabt hinnen ze fillen am Kampf géint eng global Bedrohung an , fille sech souguer wéi Helden, déi d'Welt vum Coronavirus retten. Mee, leider, de Mangel u spezielle Wëssen féiert zu der Tatsaach, datt dës gutt Intentiounen "jiddereen an d'Häll féieren", nei Cybersécherheetsbedrohungen erstellen an d'Zuel vun den Affer ausbauen.
Tatsächlech kéint ech weidergoen mat Beispiller vu Cybermenacen am Zesummenhang mam Coronavirus; Ausserdeem stinn d'Cyberkrimineller net roueg a kommen op ëmmer méi nei Weeër fir mënschlech Leidenschaften auszenotzen. Mee ech mengen, mir kënnen do ophalen. D'Bild ass scho kloer an et seet eis, datt an nächster Zukunft d'Situatioun nëmme verschlechtert gëtt. Gëschter hunn Moskau Autoritéiten d'Stad vun zéng Millioune Leit ënner Selbstisolatioun gesat. D'Autoritéite vun der Moskauer Regioun a villen anere Regioune vu Russland, wéi och eis noosten Noperen am fréiere postsowjetesche Raum, hunn datselwecht gemaach. Dëst bedeit datt d'Zuel vun de potenziellen Affer, déi vun Cyberkrimineller gezielt ginn, villmol eropgeet. Dofir ass et derwäert net nëmmen Är Sécherheetsstrategie ze iwwerdenken, déi bis viru kuerzem op de Schutz vun engem Firmen- oder Departementsnetz konzentréiert war, a bewäerten wéi eng Schutzinstrumenter Dir feelt, awer och d'Beispiller berücksichtegt an Ärem Personal Sensibiliséierungsprogramm, wat ass e wichtege Bestanddeel vum Informatiounssécherheetssystem fir Fernaarbechter ginn. A prett Iech mat dëser ze hëllefen!
PS. Bei der Virbereedung vun dësem Material goufen Materialien aus Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security a RiskIQ Firmen, dem US Department of Justice, Bleeping Computer Ressourcen, SecurityAffairs, etc.
Source: will.com