Koronaviruso tema šiandien užpildė visus naujienų srautus, taip pat tapo pagrindiniu leitmotyvu įvairiai užpuolikų veiklai, išnaudojant COVID-19 ir visa, kas su ja susijusi, temą. Šioje pastaboje norėčiau atkreipti dėmesį į kai kuriuos tokios kenkėjiškos veiklos pavyzdžius, kurie, žinoma, daugeliui informacijos saugumo specialistų nėra paslaptis, tačiau kurių santrauka viename užraše padės lengviau pasiruošti savo sąmoningumui. - renginiai darbuotojams, kurių dalis dirba nuotoliniu būdu, o kiti yra labiau nei anksčiau jautrūs įvairioms informacijos saugumo grėsmėms.
NSO priežiūros minutė
Pasaulis oficialiai paskelbė COVID-19 pandemiją – potencialiai sunkią ūminę kvėpavimo takų infekciją, kurią sukelia SARS-CoV-2 koronavirusas (2019-nCoV). Apie Habré yra daug informacijos šia tema – visada atminkite, kad ji gali būti ir patikima/naudinga, ir atvirkščiai.
Raginame kritiškai vertinti bet kokią paskelbtą informaciją.
Oficialūs šaltiniai
- Tinklalapiai ir oficialios operatyvinių būstinių grupės regionuose
Jei negyvenate Rusijoje, kreipkitės į panašias svetaines savo šalyje.
Plaukite rankas, pasirūpinkite artimaisiais, jei įmanoma, likite namuose ir dirbkite nuotoliniu būdu.Skaitykite leidinius apie: |
Pažymėtina, kad visiškai naujų grėsmių, susijusių su koronavirusu, šiandien nėra. Atvirkščiai, mes kalbame apie atakos vektorius, kurie jau tapo tradiciniais, tiesiog naudojami naujame „padaže“. Taigi pagrindines grėsmių rūšis pavadinčiau:
- sukčiavimo svetaines ir informacinius biuletenius, susijusius su koronavirusu ir susijusiu kenkėjišku kodu
- Sukčiavimas ir dezinformacija, kuria siekiama išnaudoti baimę arba neišsamią informaciją apie COVID-19
- išpuolių prieš organizacijas, dalyvaujančias koronaviruso tyrimuose
Rusijoje, kur piliečiai tradiciškai nepasitiki valdžios institucijomis ir tiki, kad nuo jų slepia tiesą, tikimybė sėkmingai „reklamuoti“ sukčiavimo svetaines ir adresų sąrašus, taip pat apgaulingus išteklius yra daug didesnė nei šalyse, kuriose atvirumas yra atviresnis. autoritetai. Nors šiandien niekas negali savęs laikyti absoliučiai apsaugotu nuo kūrybingų kibernetinių sukčių, kurie naudojasi visomis klasikinėmis žmogiškomis žmogaus silpnybėmis – baime, užuojauta, godumu ir kt.
Paimkite, pavyzdžiui, nesąžiningą svetainę, kurioje parduodamos medicininės kaukės.
JAV valdžios institucijos uždarė panašią svetainę CoronavirusMedicalkit[.]com, nes ji nemokamai platino neegzistuojančią vakciną nuo COVID-19 su „tik“ pašto mokesčiais už vaisto siuntimą. Šiuo atveju, esant tokiai žemai kainai, buvo skaičiuojama skubi vaisto paklausa panikos sąlygomis JAV.
Tai nėra klasikinė kibernetinė grėsmė, nes užpuolikų užduotis šiuo atveju yra ne užkrėsti vartotojus ar pavogti jų asmens duomenis ar identifikavimo informaciją, o tiesiog ant baimės bangos priversti juos išsisukti ir nusipirkti medicinines kaukes išpūstomis kainomis. 5-10-30 kartų viršija faktines išlaidas. Tačiau pačią idėją sukurti netikrą svetainę, kurioje būtų panaudota koronaviruso tema, taip pat naudojasi kibernetiniai nusikaltėliai. Pavyzdžiui, čia yra svetainė, kurios pavadinime yra raktinis žodis „covid19“, bet kuri taip pat yra sukčiavimo svetainė.
Apskritai kasdien stebime mūsų incidentų tyrimo paslaugą , matai, kiek kuriama domenų, kurių pavadinimuose yra žodžiai „covid“, „covid19“, „koronavirusas“ ir kt. Ir daugelis jų yra piktybiniai.
Aplinkoje, kurioje dalis įmonės darbuotojų perkeliami į darbą iš namų ir jie nėra apsaugoti įmonių saugumo priemonėmis, kaip niekad svarbu stebėti išteklius, kurie pasiekiami iš darbuotojų mobiliųjų ir stalinių įrenginių, sąmoningai ar be jų. žinių. Jei nesinaudojate paslauga aptikti ir blokuoti tokius domenus (ir Cisco prisijungimas prie šios paslaugos dabar nemokamas), tada bent jau sukonfigūruokite žiniatinklio prieigos stebėjimo sprendimus, kad galėtumėte stebėti domenus su atitinkamais raktiniais žodžiais. Tuo pat metu atminkite, kad tradicinis požiūris į domenų įtraukimą į juodąjį sąrašą, taip pat naudojant reputacijos duomenų bazes gali nepavykti, nes kenkėjiški domenai sukuriami labai greitai ir naudojami tik 1–2 atakose ne ilgiau nei kelias valandas – tada užpuolikai pereina prie naujų trumpalaikių domenų. Informacijos apsaugos įmonės tiesiog nespėja greitai atnaujinti savo žinių bazių ir jas išplatinti visiems savo klientams.
Užpuolikai ir toliau aktyviai naudojasi el. pašto kanalu, kad prieduose platintų sukčiavimo nuorodas ir kenkėjiškas programas. Ir jų efektyvumas yra gana didelis, nes vartotojai, gavę visiškai legalius naujienas apie koronavirusą, ne visada gali atpažinti jų apimtyje ką nors kenksmingo. Ir nors užsikrėtusiųjų skaičius tik auga, tokių grėsmių spektras taip pat tik augs.
Pavyzdžiui, taip atrodo sukčiavimo el. laiško CDC vardu pavyzdys:
Žinoma, paspaudus nuorodą, patenkama ne į CDC svetainę, o į netikrą puslapį, kuris pavagia aukos prisijungimo vardą ir slaptažodį:
Čia yra sukčiavimo el. laiško, tariamai Pasaulio sveikatos organizacijos vardu, pavyzdys:
Ir šiame pavyzdyje užpuolikai tikisi tuo, kad daugelis žmonių mano, kad valdžia nuo jų slepia tikrąjį infekcijos mastą, todėl vartotojai mielai ir beveik nedvejodami spusteli tokio tipo laiškus su kenkėjiškomis nuorodomis ar priedais, neva atskleis visas paslaptis.
Beje, yra tokia svetainė , kuri leidžia sekti įvairius rodiklius, pavyzdžiui, mirtingumą, rūkančiųjų skaičių, gyventojų skaičių įvairiose šalyse ir kt. Svetainėje taip pat yra puslapis, skirtas koronavirusui. Taigi, kai kovo 16 d. nuėjau į jį, pamačiau puslapį, kuris akimirksniu privertė suabejoti, ar valdžia mums sako tiesą (nežinau, kokia šių skaičių priežastis, gal tik klaida):
Viena iš populiariausių infrastruktūrų, kurią užpuolikai naudoja panašiems el. laiškams siųsti, yra Emotet, viena pavojingiausių ir populiariausių pastarojo meto grėsmių. „Word“ dokumentuose, pridedamuose prie el. pašto pranešimų, yra „Emotet“ parsisiuntimo programos, kurios įkelia naujus kenkėjiškus modulius į aukos kompiuterį. Iš pradžių Emotet buvo naudojamas reklamuoti nuorodas į nesąžiningas svetaines, kuriose parduodamos medicininės kaukės, skirtos Japonijos gyventojams. Žemiau matote kenkėjiško failo analizės naudojant smėlio dėžę rezultatą , kuri analizuoja failus, ar nėra kenkėjiškų.
Tačiau užpuolikai išnaudoja ne tik galimybę paleisti „MS Word“, bet ir kitose „Microsoft“ programose, pavyzdžiui, „MS Excel“ (taip veikė APT36 įsilaužėlių grupė), siųsdami Indijos vyriausybės rekomendacijas, kaip kovoti su koronavirusu, kuriame yra „Crimson“. ŽIURKĖ:
Kita kenkėjiška koronaviruso temą išnaudojanti kampanija yra „Nanocore RAT“, kuri leidžia aukos kompiuteriuose įdiegti programas, skirtas nuotolinei prieigai, perimti klaviatūros paspaudimus, užfiksuoti ekrano vaizdus, pasiekti failus ir pan.
O Nanocore RAT dažniausiai pristatomas el. Pavyzdžiui, žemiau matote pašto pranešimo pavyzdį su pridėtu ZIP archyvu, kuriame yra vykdomasis PIF failas. Paspaudęs vykdomąjį failą, auka savo kompiuteryje įdiegia nuotolinės prieigos programą (Remote Access Tool, RAT).
Štai dar vienas COVID-19 temos parazitinės kampanijos pavyzdys. Vartotojas gauna laišką apie tariamą pristatymo vėlavimą dėl koronaviruso su pridedama sąskaita su plėtiniu .pdf.ace. Suspausto archyvo viduje yra vykdomasis turinys, kuris užmezga ryšį su komandų ir valdymo serveriu, kad gautų papildomų komandų ir vykdytų kitus užpuoliko tikslus.
Parallax RAT turi panašias funkcijas, kurios platina failą pavadinimu „naujas užkrėstas CORONAVIRUS dangus 03.02.2020/XNUMX/XNUMX.pif“ ir įdiegia kenkėjišką programą, kuri sąveikauja su jos komandų serveriu per DNS protokolą. EDR klasės apsaugos įrankiai, kurių pavyzdys yra , ir NGFW padės stebėti ryšį su komandų serveriais (pvz., ) arba DNS stebėjimo įrankiai (pvz., ).
Toliau pateiktame pavyzdyje nuotolinės prieigos kenkėjiška programa buvo įdiegta nukentėjusiojo, kuris dėl kažkokios nežinomos priežasties nusipirko reklamą, kad įprasta kompiuteryje įdiegta antivirusinė programa gali apsaugoti nuo tikrojo COVID-19, kompiuteryje. O juk kažkas papuolė į tokį iš pažiūros pokštą.
Tačiau tarp kenkėjiškų programų yra ir tikrai keistų dalykų. Pavyzdžiui, pokštų failai, imituojantys išpirkos reikalaujančios programos darbą. Vienu atveju mūsų „Cisco Talos“ padalinys failas pavadinimu CoronaVirus.exe, kuris vykdymo metu užblokavo ekraną ir paleido laikmatį bei pranešimą „ištrinami visi šio kompiuterio failai ir aplankai – koronavirusas“.
Pasibaigus atgaliniam skaičiavimui, mygtukas apačioje tapo aktyvus, o paspaudus buvo rodomas toks pranešimas, kad visa tai buvo pokštas ir kad programai baigti reikia paspausti Alt+F12.
Kova su kenkėjiškais laiškais gali būti automatizuota, pavyzdžiui, naudojant , kuri leidžia aptikti ne tik kenksmingą turinį prieduose, bet ir sekti sukčiavimo nuorodas bei jų paspaudimus. Tačiau net ir šiuo atveju neturėtumėte pamiršti apie vartotojų mokymą ir reguliarų sukčiavimo simuliacijų bei kibernetinių pratimų vykdymą, kurie paruoš vartotojus įvairiems užpuolikų triukams, nukreiptiems prieš jūsų vartotojus. Ypač jei jie dirba nuotoliniu būdu ir per asmeninį el. paštą, kenkėjiškas kodas gali prasiskverbti į įmonės ar padalinių tinklą. Čia galėčiau rekomenduoti naują sprendimą , leidžianti ne tik vykdyti mikro ir nano mokymus personalui informacijos saugumo klausimais, bet ir organizuoti jiems sukčiavimo simuliacijas.
Bet jei dėl kokių nors priežasčių nesate pasiruošę naudoti tokius sprendimus, tuomet verta bent jau organizuoti reguliarius laiškus savo darbuotojams su priminimu apie sukčiavimo pavojų, jo pavyzdžiais ir saugaus elgesio taisyklių sąrašu (svarbiausia, kad užpuolikai jais nesikeičia). Beje, šiuo metu viena iš galimų rizikų yra sukčiavimo laiškai, prisidengiantys jūsų vadovybės laiškais, kuriuose neva kalbama apie naujas nuotolinio darbo taisykles ir procedūras, privalomą programinę įrangą, kuri turi būti įdiegta nuotoliniuose kompiuteriuose ir pan. Ir nepamirškite, kad be elektroninio pašto, kibernetiniai nusikaltėliai gali naudotis momentiniais pasiuntiniais ir socialiniais tinklais.
Į tokią pašto siuntimo ar informuotumo didinimo programą taip pat galite įtraukti jau klasikinį netikro koronaviruso infekcijos žemėlapio pavyzdį, kuris buvo panašus į Johns Hopkins universitetas. Skirtumas buvo tai, kad prisijungus prie sukčiavimo svetainės, vartotojo kompiuteryje buvo įdiegta kenkėjiška programa, kuri pavogė vartotojo abonemento informaciją ir išsiuntė ją kibernetiniams nusikaltėliams. Viena iš tokios programos versijų taip pat sukūrė KPP ryšius nuotolinei prieigai prie aukos kompiuterio.
Beje, apie KPP. Tai dar vienas atakos vektorius, kurį užpuolikai pradeda aktyviau naudoti koronaviruso pandemijos metu. Daugelis įmonių, pereidamos prie nuotolinio darbo, naudojasi tokiomis paslaugomis kaip RDP, kurios dėl skubėjimo neteisingai sukonfigūruotos užpuolikai gali prasiskverbti tiek į nuotolinius vartotojų kompiuterius, tiek į įmonės infrastruktūrą. Be to, net ir tinkamai sukonfigūravus, įvairūs KPP diegimai gali turėti spragų, kuriomis gali pasinaudoti užpuolikai. Pavyzdžiui, „Cisco Talos“. daugybė FreeRDP spragų, o praėjusių metų gegužę Microsoft Remote Desktop tarnyboje buvo aptiktas kritinis pažeidžiamumas CVE-2019-0708, kuris leido paleisti savavališką kodą aukos kompiuteryje, įdiegti kenkėjiškas programas ir pan. Apie ją net buvo išplatintas informacinis biuletenis ir, pavyzdžiui, „Cisco Talos“. rekomendacijos, kaip apsisaugoti nuo jos.
Yra dar vienas koronaviruso temos išnaudojimo pavyzdys – reali grėsmė užkrėsti aukos šeimą, jei jie atsisakys mokėti išpirką bitkoinais. Siekiant sustiprinti efektą, suteikti laiškui reikšmingumo ir sukurti turto prievartautojo visagalybės jausmą, į laiško tekstą buvo įterptas aukos slaptažodis iš vienos iš jo paskyrų, gautas iš viešų prisijungimų ir slaptažodžių duomenų bazių.
Viename iš aukščiau pateiktų pavyzdžių parodžiau sukčiavimo pranešimą iš Pasaulio sveikatos organizacijos. Ir štai dar vienas pavyzdys, kuriame vartotojų prašoma finansinės pagalbos kovojant su COVID-19 (nors laiško antraštėje iškart pastebimas žodis „DONACIJA“) Ir prašoma padėti bitkoinais apsisaugoti nuo kriptovaliutų sekimas.
Ir šiandien yra daug tokių pavyzdžių, išnaudojančių vartotojų užuojautą:
Bitcoinai yra susiję su COVID-19 kitu būdu. Pavyzdžiui, taip atrodo daugybės namuose sėdinčių ir negalinčių užsidirbti Didžiosios Britanijos piliečių gaunami laiškai (Rusijoje dabar tai taip pat taps aktualu).
Šie laiškai, apsimetę gerai žinomais laikraščiais ir naujienų svetainėmis, siūlo lengvus pinigus išgaunant kriptovaliutas specialiose svetainėse. Tiesą sakant, po kurio laiko gaunate pranešimą, kad uždirbtą sumą galima nusiimti į specialią sąskaitą, tačiau prieš tai reikia pervesti nedidelę mokesčių sumą. Aišku, kad gavę šiuos pinigus sukčiai mainais nieko neperveda, o patiklus vartotojas pervestus pinigus praranda.
Yra dar viena grėsmė, susijusi su Pasaulio sveikatos organizacija. Įsilaužėliai įsilaužė į „D-Link“ ir „Linksys“ maršrutizatorių, kuriuos dažnai naudoja namų vartotojai ir mažos įmonės, DNS nustatymus, kad nukreiptų juos į netikrą svetainę su iššokančiu įspėjimu apie būtinybę įdiegti PSO programą, kuri juos išsaugos. gauti naujausias naujienas apie koronavirusą. Be to, pačioje programoje buvo kenkėjiška programa „Oski“, kuri vagia informaciją.
Panašią idėją su programa, kurioje yra dabartinė COVID-19 infekcijos būsena, naudoja Android Trojos arklys CovidLock, platinamas per programą, kurią tariamai „sertifikavo“ JAV Švietimo departamentas, PSO ir Epidemijos kontrolės centras ( CDC).
Daugelis vartotojų šiandien yra izoliuoti ir, nenorintys arba negalintys gaminti maisto, aktyviai naudojasi maisto, bakalėjos ar kitų prekių, pavyzdžiui, tualetinio popieriaus, pristatymo paslaugomis. Užpuolikai taip pat įvaldė šį vektorių savo tikslams. Pavyzdžiui, taip atrodo kenkėjiška svetainė, panaši į teisėtą Kanados paštui priklausantį šaltinį. Nukentėjusiosios gautos SMS nuoroda nukreipia į internetinį puslapį, kuriame pranešama, kad užsakytos prekės pristatyti negalima, nes trūksta tik 3 USD, kuriuos reikia sumokėti papildomai. Tokiu atveju vartotojas nukreipiamas į puslapį, kuriame jis turi nurodyti savo kredito kortelės duomenis... su visomis iš to išplaukiančiomis pasekmėmis.
Baigdamas norėčiau pateikti dar du kibernetinių grėsmių, susijusių su COVID-19, pavyzdžius. Pavyzdžiui, įskiepiai „COVID-19 Coronavirus – Live Map WordPress Plugin“, „Coronavirus Spread Prediction Graphs“ arba „Covid-19“ yra integruoti į svetaines naudojant populiarųjį „WordPress“ variklį ir kartu pateikiant „WordPress“ plitimo žemėlapį. koronavirusas, taip pat yra WP-VCD kenkėjiška programa. O bendrovė „Zoom“, kuri, išaugus internetinių renginių skaičiui, tapo labai, labai populiari, susidūrė su tuo, ką ekspertai pavadino „Zoombombing“. Užpuolikai, o iš tikrųjų paprasti pornografiniai troliai, prisijungė prie internetinių pokalbių ir internetinių susitikimų bei rodė įvairius nepadorius vaizdo įrašus. Beje, su panašia grėsme šiandien susiduria Rusijos įmonės.
Manau, kad daugelis iš mūsų reguliariai tikrina įvairius šaltinius, tiek oficialius, tiek ne tokius oficialius, apie dabartinę pandemijos būklę. Užpuolikai naudojasi šia tema, siūlydami mums „naujausią“ informaciją apie koronavirusą, įskaitant informaciją, „kurią valdžia nuo jūsų slepia“. Tačiau net paprasti vartotojai pastaruoju metu dažnai padėdavo užpuolikams siųsdami patikrintų faktų kodus iš „pažįstamų“ ir „draugų“. Psichologai teigia, kad toks „aleristų“ vartotojų, siunčiančių viską, kas patenka į jų regėjimo lauką, aktyvumas (ypač socialiniuose tinkluose ir momentiniuose pranešimuose, kurie neturi apsaugos nuo tokių grėsmių mechanizmų), leidžia jaustis įsitraukusiems į kovą su pasaulinė grėsmė ir netgi jaučiasi didvyriais, gelbstinčiais pasaulį nuo koronaviruso. Tačiau, deja, specialių žinių trūkumas lemia tai, kad šie geri ketinimai „nuveda visus į pragarą“, sukuria naujas kibernetinio saugumo grėsmes ir plečia aukų skaičių.
Tiesą sakant, galėčiau tęsti su koronavirusu susijusių kibernetinių grėsmių pavyzdžius; Be to, kibernetiniai nusikaltėliai nestovi vietoje ir sugalvoja vis naujų būdų išnaudoti žmonių aistras. Bet manau, kad galime sustoti. Vaizdas jau aiškus ir byloja, kad artimiausiu metu padėtis tik blogės. Vakar Maskvos valdžia uždarė dešimties milijonų gyventojų miestą saviizoliaciją. Taip pasielgė Maskvos srities ir daugelio kitų Rusijos regionų valdžia, taip pat artimiausi mūsų kaimynai buvusioje posovietinėje erdvėje. Tai reiškia, kad potencialių aukų, į kurias taikosi kibernetiniai nusikaltėliai, skaičius išaugs daug kartų. Todėl verta ne tik persvarstyti savo saugumo strategiją, kuri dar visai neseniai buvo orientuota į tik įmonės ar padalinio tinklo apsaugą, ir įvertinti, kokių apsaugos priemonių jums trūksta, bet ir atsižvelgti į pavyzdžius, pateiktus jūsų personalo informavimo programoje, kuri yra tampa svarbia nuotolinių darbuotojų informacijos apsaugos sistemos dalimi. A pasiruošę jums padėti šiuo klausimu!
PS. Rengiant šią medžiagą buvo naudojama medžiaga iš Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security ir RiskIQ kompanijų, JAV Teisingumo departamento, Bleeping Computer išteklių, SecurityAffairs ir kt. P.
Šaltinis: www.habr.com