Topik coronavirus hari ini telah memenuhi semua suapan berita, dan juga telah menjadi leitmotif utama untuk pelbagai aktiviti penyerang yang mengeksploitasi topik COVID-19 dan semua yang berkaitan dengannya. Dalam nota ini, saya ingin menarik perhatian kepada beberapa contoh aktiviti berniat jahat itu, yang, sudah tentu, bukan rahsia bagi banyak pakar keselamatan maklumat, tetapi ringkasan yang dalam satu nota akan memudahkan untuk menyediakan kesedaran anda sendiri. -membangkitkan acara untuk pekerja, sesetengah daripada mereka bekerja dari jauh dan yang lain lebih terdedah kepada pelbagai ancaman keselamatan maklumat berbanding sebelum ini.
Satu minit penjagaan dari UFO
Dunia secara rasmi mengisytiharkan pandemik COVID-19, jangkitan pernafasan akut yang berpotensi teruk disebabkan oleh coronavirus SARS-CoV-2 (2019-nCoV). Terdapat banyak maklumat tentang Habré mengenai topik ini - sentiasa ingat bahawa ia boleh dipercayai/berguna dan sebaliknya.
Kami menggalakkan anda bersikap kritis terhadap sebarang maklumat yang diterbitkan.
Sumber rasmi
- Laman web dan kumpulan rasmi ibu pejabat operasi di wilayah
Jika anda tidak tinggal di Rusia, sila rujuk tapak yang serupa di negara anda.
Basuh tangan anda, jaga orang yang anda sayangi, tinggal di rumah jika boleh dan bekerja dari jauh.Baca penerbitan tentang: |
Perlu diingatkan bahawa tidak ada ancaman baru yang berkaitan dengan coronavirus hari ini. Sebaliknya, kita bercakap tentang vektor serangan yang telah menjadi tradisional, hanya digunakan dalam "sos" baharu. Jadi, saya akan memanggil jenis ancaman utama:
- tapak pancingan data dan surat berita yang berkaitan dengan coronavirus dan kod hasad yang berkaitan
- Penipuan dan maklumat salah yang bertujuan untuk mengeksploitasi ketakutan atau maklumat yang tidak lengkap tentang COVID-19
- serangan terhadap organisasi yang terlibat dalam penyelidikan coronavirus
Di Rusia, di mana rakyat secara tradisinya tidak mempercayai pihak berkuasa dan percaya bahawa mereka menyembunyikan kebenaran daripada mereka, kemungkinan berjaya "mempromosikan" tapak pancingan data dan senarai mel, serta sumber penipuan, jauh lebih tinggi daripada di negara yang lebih terbuka. pihak berkuasa. Walaupun hari ini tiada siapa yang boleh menganggap diri mereka dilindungi sepenuhnya daripada penipu siber kreatif yang menggunakan semua kelemahan manusia klasik seseorang - ketakutan, belas kasihan, ketamakan, dll.
Ambil, sebagai contoh, tapak penipuan yang menjual topeng perubatan.
Tapak serupa, CoronavirusMedicalkit[.]com, telah ditutup oleh pihak berkuasa AS kerana mengedarkan vaksin COVID-19 yang tidak wujud secara percuma dengan pos "hanya" untuk menghantar ubat tersebut. Dalam kes ini, dengan harga yang begitu rendah, pengiraan adalah untuk permintaan tergesa-gesa untuk ubat dalam keadaan panik di Amerika Syarikat.
Ini bukan ancaman siber klasik, kerana tugas penyerang dalam kes ini bukan untuk menjangkiti pengguna atau mencuri data peribadi atau maklumat pengenalan mereka, tetapi semata-mata kerana gelombang ketakutan untuk memaksa mereka keluar dan membeli topeng perubatan pada harga yang melambung. sebanyak 5-10-30 kali ganda melebihi kos sebenar. Tetapi idea untuk mencipta laman web palsu yang mengeksploitasi tema coronavirus juga digunakan oleh penjenayah siber. Sebagai contoh, berikut ialah tapak yang namanya mengandungi kata kunci "covid19", tetapi yang juga merupakan tapak pancingan data.
Secara umum, setiap hari memantau perkhidmatan siasatan insiden kami , anda melihat bilangan domain sedang dibuat yang namanya mengandungi perkataan covid, covid19, coronavirus, dsb. Dan ramai daripada mereka berniat jahat.
Dalam persekitaran di mana sesetengah pekerja syarikat dipindahkan ke tempat kerja dari rumah dan mereka tidak dilindungi oleh langkah keselamatan korporat, adalah lebih penting daripada sebelumnya untuk memantau sumber yang diakses daripada peranti mudah alih dan desktop pekerja, secara sedar atau tanpa mereka. pengetahuan. Jika anda tidak menggunakan perkhidmatan tersebut untuk mengesan dan menyekat domain tersebut (dan Cisco sambungan kepada perkhidmatan ini kini percuma), kemudian sekurang-kurangnya konfigurasikan penyelesaian pemantauan akses Web anda untuk memantau domain dengan kata kunci yang berkaitan. Pada masa yang sama, ingat bahawa pendekatan tradisional untuk menyenaraihitamkan domain, serta menggunakan pangkalan data reputasi, boleh gagal, kerana domain berniat jahat dibuat dengan cepat dan digunakan dalam hanya 1-2 serangan tidak lebih daripada beberapa jam - kemudian penyerang bertukar kepada domain fana yang baharu. Syarikat keselamatan maklumat tidak mempunyai masa untuk mengemas kini pangkalan pengetahuan mereka dengan cepat dan mengedarkannya kepada semua pelanggan mereka.
Penyerang terus mengeksploitasi saluran e-mel secara aktif untuk mengedarkan pautan pancingan data dan perisian hasad dalam lampiran. Dan keberkesanannya agak tinggi, kerana pengguna, semasa menerima mel berita yang sah sepenuhnya tentang coronavirus, tidak boleh sentiasa mengenali sesuatu yang berniat jahat dalam jumlah mereka. Dan sementara bilangan orang yang dijangkiti hanya bertambah, pelbagai ancaman tersebut juga akan bertambah.
Contohnya, ini adalah contoh e-mel pancingan data bagi pihak CDC:
Mengikuti pautan, sudah tentu, tidak membawa kepada laman web CDC, tetapi ke halaman palsu yang mencuri log masuk dan kata laluan mangsa:
Berikut ialah contoh e-mel pancingan data yang kononnya bagi pihak Pertubuhan Kesihatan Sedunia:
Dan dalam contoh ini, penyerang bergantung pada fakta bahawa ramai orang percaya bahawa pihak berkuasa menyembunyikan skala sebenar jangkitan daripada mereka, dan oleh itu pengguna dengan gembira dan hampir tanpa teragak-agak mengklik pada jenis surat ini dengan pautan atau lampiran berniat jahat yang kononnya akan mendedahkan semua rahsia.
By the way, terdapat laman web sedemikian , yang membolehkan anda menjejaki pelbagai penunjuk, contohnya, kematian, bilangan perokok, penduduk di negara yang berbeza, dsb. Laman web ini juga mempunyai halaman khusus untuk coronavirus. Oleh itu, apabila saya pergi ke halaman itu pada 16 Mac, saya melihat halaman yang buat seketika membuat saya ragu bahawa pihak berkuasa memberitahu kami perkara sebenar (saya tidak tahu apa sebab nombor ini, mungkin hanya kesilapan):
Salah satu infrastruktur popular yang digunakan penyerang untuk menghantar e-mel serupa ialah Emotet, salah satu ancaman paling berbahaya dan popular sejak kebelakangan ini. Dokumen Word yang dilampirkan pada mesej e-mel mengandungi pemuat turun Emotet, yang memuatkan modul hasad baharu ke komputer mangsa. Emotet pada mulanya digunakan untuk mempromosikan pautan ke laman web penipuan yang menjual topeng perubatan, menyasarkan penduduk Jepun. Di bawah anda melihat hasil menganalisis fail berniat jahat menggunakan kotak pasir , yang menganalisis fail untuk niat jahat.
Tetapi penyerang mengeksploitasi bukan sahaja keupayaan untuk melancarkan dalam MS Word, tetapi juga dalam aplikasi Microsoft yang lain, contohnya, dalam MS Excel (beginilah cara kumpulan penggodam APT36 bertindak), menghantar cadangan untuk memerangi coronavirus daripada Kerajaan India yang mengandungi Crimson TIKUS:
Satu lagi kempen berniat jahat yang mengeksploitasi tema coronavirus ialah Nanocore RAT, yang membolehkan anda memasang program pada komputer mangsa untuk akses jauh, memintas pukulan papan kekunci, menangkap imej skrin, mengakses fail, dsb.
Dan Nanocore RAT biasanya dihantar melalui e-mel. Sebagai contoh, di bawah anda melihat contoh mesej mel dengan arkib ZIP yang dilampirkan yang mengandungi fail PIF boleh laku. Dengan mengklik pada fail boleh laku, mangsa memasang program capaian jauh (Remote Access Tool, RAT) pada komputernya.
Berikut ialah satu lagi contoh parasit kempen mengenai topik COVID-19. Pengguna menerima surat tentang kelewatan penghantaran yang sepatutnya disebabkan oleh coronavirus dengan invois yang dilampirkan dengan sambungan .pdf.ace. Di dalam arkib termampat ialah kandungan boleh laku yang mewujudkan sambungan ke pelayan arahan dan kawalan untuk menerima arahan tambahan dan melaksanakan matlamat penyerang lain.
Parallax RAT mempunyai kefungsian yang serupa, yang mengedarkan fail bernama "new infected CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif" dan yang memasang program hasad yang berinteraksi dengan pelayan arahannya melalui protokol DNS. Alat perlindungan kelas EDR, contohnya ialah , dan sama ada NGFW akan membantu memantau komunikasi dengan pelayan arahan (contohnya, ), atau alat pemantauan DNS (contohnya, ).
Dalam contoh di bawah, perisian hasad akses jauh telah dipasang pada komputer mangsa yang, atas sebab yang tidak diketahui, mengiklankan bahawa program antivirus biasa yang dipasang pada PC boleh melindungi daripada COVID-19 sebenar. Lagipun, seseorang jatuh untuk gurauan yang kelihatan seperti itu.
Tetapi di antara perisian hasad terdapat juga beberapa perkara yang sangat pelik. Contohnya, fail jenaka yang meniru kerja perisian tebusan. Dalam satu kes, bahagian Cisco Talos kami fail bernama CoronaVirus.exe, yang menyekat skrin semasa pelaksanaan dan memulakan pemasa dan mesej "memadam semua fail dan folder pada komputer ini - coronavirus."
Setelah selesai mengira detik, butang di bahagian bawah menjadi aktif dan apabila ditekan, mesej berikut dipaparkan, mengatakan bahawa ini semua adalah jenaka dan anda harus menekan Alt+F12 untuk menamatkan program.
Perjuangan menentang mel berniat jahat boleh diautomasikan, contohnya, menggunakan , yang membolehkan anda mengesan bukan sahaja kandungan berniat jahat dalam lampiran, tetapi juga menjejaki pautan pancingan data dan klik padanya. Tetapi dalam kes ini, anda tidak sepatutnya melupakan latihan pengguna dan kerap menjalankan simulasi pancingan data dan latihan siber, yang akan menyediakan pengguna untuk pelbagai helah penyerang yang ditujukan kepada pengguna anda. Terutama jika mereka bekerja dari jauh dan melalui e-mel peribadi mereka, kod hasad boleh menembusi ke dalam rangkaian korporat atau jabatan. Di sini saya boleh mengesyorkan penyelesaian baharu , yang membolehkan bukan sahaja menjalankan latihan mikro dan nano kakitangan mengenai isu keselamatan maklumat, tetapi juga untuk mengatur simulasi pancingan data untuk mereka.
Tetapi jika atas sebab tertentu anda tidak bersedia untuk menggunakan penyelesaian sedemikian, maka sekurang-kurangnya perlu menganjurkan mel tetap kepada pekerja anda dengan peringatan tentang bahaya pancingan data, contoh dan senarai peraturan untuk tingkah laku yang selamat (perkara utama ialah penyerang tidak menyamar sebagai mereka). Ngomong-ngomong, salah satu risiko yang mungkin berlaku pada masa ini ialah mel pancingan data yang menyamar sebagai surat daripada pengurusan anda, yang didakwa bercakap tentang peraturan dan prosedur baharu untuk kerja jauh, perisian wajib yang mesti dipasang pada komputer jauh, dsb. Dan jangan lupa bahawa selain e-mel, penjenayah siber boleh menggunakan utusan segera dan rangkaian sosial.
Dalam program mel atau meningkatkan kesedaran ini, anda juga boleh memasukkan contoh yang sudah klasik bagi peta jangkitan coronavirus palsu, yang serupa dengan peta Universiti Johns Hopkins. Beza ialah apabila mengakses tapak pancingan data, perisian hasad telah dipasang pada komputer pengguna, yang mencuri maklumat akaun pengguna dan menghantarnya kepada penjenayah siber. Satu versi program sedemikian juga mencipta sambungan RDP untuk akses jauh ke komputer mangsa.
By the way, tentang RDP. Ini adalah satu lagi vektor serangan yang penyerang mula gunakan dengan lebih aktif semasa wabak coronavirus. Banyak syarikat, apabila beralih kepada kerja jauh, menggunakan perkhidmatan seperti RDP, yang, jika dikonfigurasikan secara tidak betul kerana tergesa-gesa, boleh menyebabkan penyerang menyusup ke kedua-dua komputer pengguna jauh dan di dalam infrastruktur korporat. Selain itu, walaupun dengan konfigurasi yang betul, pelbagai pelaksanaan RDP mungkin mempunyai kelemahan yang boleh dieksploitasi oleh penyerang. Contohnya, Cisco Talos pelbagai kerentanan dalam FreeRDP, dan pada Mei tahun lalu, kerentanan kritikal CVE-2019-0708 ditemui dalam perkhidmatan Desktop Jauh Microsoft, yang membenarkan kod sewenang-wenangnya dilaksanakan pada komputer mangsa, perisian hasad diperkenalkan, dsb. Surat berita tentangnya juga telah diedarkan , dan, sebagai contoh, Cisco Talos cadangan untuk perlindungan terhadapnya.
Terdapat satu lagi contoh eksploitasi tema coronavirus - ancaman sebenar jangkitan keluarga mangsa jika mereka enggan membayar wang tebusan dalam bitcoin. Untuk meningkatkan kesannya, untuk memberi kepentingan surat dan mewujudkan rasa kemahakuasaan pemeras, kata laluan mangsa dari salah satu akaunnya, yang diperoleh daripada pangkalan data log masuk dan kata laluan awam, telah dimasukkan ke dalam teks surat itu.
Dalam salah satu contoh di atas, saya menunjukkan mesej pancingan data daripada Pertubuhan Kesihatan Sedunia. Dan berikut ialah satu lagi contoh di mana pengguna diminta bantuan kewangan untuk memerangi COVID-19 (walaupun dalam pengepala dalam badan surat, perkataan "DERMA" serta-merta ketara). Dan mereka meminta bantuan dalam bitcoin untuk melindungi daripada penjejakan mata wang kripto.
Dan hari ini terdapat banyak contoh yang mengeksploitasi belas kasihan pengguna:
Bitcoin berkaitan dengan COVID-19 dengan cara lain. Sebagai contoh, ini adalah rupa surat yang diterima oleh ramai warga Britain yang duduk di rumah dan tidak dapat memperoleh wang (di Rusia sekarang ini juga akan menjadi relevan).
Menyamar sebagai akhbar dan tapak berita terkenal, surat mel ini menawarkan wang mudah dengan melombong mata wang kripto di tapak khas. Malah, selepas beberapa ketika, anda menerima mesej bahawa jumlah yang anda perolehi boleh dikeluarkan ke akaun khas, tetapi anda perlu memindahkan sejumlah kecil cukai sebelum itu. Adalah jelas bahawa selepas menerima wang ini, penipu tidak memindahkan apa-apa sebagai balasan, dan pengguna yang mudah tertipu kehilangan wang yang dipindahkan.
Terdapat satu lagi ancaman yang dikaitkan dengan Pertubuhan Kesihatan Sedunia. Penggodam menggodam tetapan DNS penghala D-Link dan Linksys, yang sering digunakan oleh pengguna rumah dan perniagaan kecil, untuk mengubah hala mereka ke tapak web palsu dengan amaran pop timbul tentang keperluan untuk memasang apl WHO, yang akan mengekalkannya. terkini dengan berita terkini tentang coronavirus. Selain itu, aplikasi itu sendiri mengandungi program jahat Oski, yang mencuri maklumat.
Idea serupa dengan aplikasi yang mengandungi status semasa jangkitan COVID-19 dieksploitasi oleh Android Trojan CovidLock, yang diedarkan melalui aplikasi yang kononnya "diperakui" oleh Jabatan Pendidikan AS, WHO dan Pusat Kawalan Epidemik ( CDC).
Ramai pengguna hari ini berada dalam pengasingan diri dan, tidak mahu atau tidak boleh memasak, secara aktif menggunakan perkhidmatan penghantaran untuk makanan, barangan runcit atau barangan lain, seperti kertas tandas. Penyerang juga telah menguasai vektor ini untuk tujuan mereka sendiri. Sebagai contoh, inilah rupa tapak web berniat jahat, serupa dengan sumber sah yang dimiliki oleh Canada Post. Pautan daripada SMS yang diterima oleh mangsa membawa kepada laman web yang melaporkan bahawa produk yang dipesan tidak boleh dihantar kerana hanya $3 yang hilang, yang mesti dibayar tambahan. Dalam kes ini, pengguna diarahkan ke halaman di mana dia mesti menunjukkan butiran kad kreditnya... dengan semua akibat yang berikutnya.
Kesimpulannya, saya ingin memberikan dua lagi contoh ancaman siber yang berkaitan dengan COVID-19. Sebagai contoh, pemalam “COVID-19 Coronavirus - Live Map WordPress Plugin”, “Corona Spread Prediction Graphs” atau “Covid-19” dibina ke dalam tapak menggunakan enjin WordPress yang popular dan, bersama-sama dengan memaparkan peta penyebaran coronavirus, juga mengandungi perisian hasad WP-VCD. Dan syarikat Zoom, yang, selepas pertumbuhan dalam jumlah acara dalam talian, menjadi sangat, sangat popular, berhadapan dengan apa yang pakar dipanggil "Zoombombing." Penyerang, tetapi sebenarnya troll lucah biasa, berhubung dengan sembang dalam talian dan mesyuarat dalam talian dan menunjukkan pelbagai video lucah. By the way, ancaman yang sama dihadapi hari ini oleh syarikat Rusia.
Saya rasa kebanyakan daripada kita kerap menyemak pelbagai sumber, sama ada rasmi dan tidak begitu rasmi, mengenai status semasa wabak itu. Penyerang mengeksploitasi topik ini, menawarkan kami maklumat "terkini" tentang coronavirus, termasuk maklumat "yang pihak berkuasa sembunyikan daripada anda." Tetapi pengguna biasa biasa baru-baru ini sering membantu penyerang dengan menghantar kod fakta yang disahkan daripada "kenalan" dan "rakan". Pakar psikologi mengatakan bahawa aktiviti pengguna "penggera" sedemikian yang menghantar segala yang datang ke dalam bidang penglihatan mereka (terutamanya dalam rangkaian sosial dan utusan segera, yang tidak mempunyai mekanisme perlindungan terhadap ancaman sedemikian), membolehkan mereka merasa terlibat dalam memerangi ancaman global dan, malah berasa seperti wira menyelamatkan dunia daripada coronavirus. Tetapi, malangnya, kekurangan pengetahuan khas membawa kepada hakikat bahawa niat baik ini "membawa semua orang ke neraka," mencipta ancaman keselamatan siber baharu dan memperluaskan bilangan mangsa.
Malah, saya boleh meneruskan dengan contoh ancaman siber yang berkaitan dengan coronavirus; Selain itu, penjenayah siber tidak berdiam diri dan menghasilkan lebih banyak cara baharu untuk mengeksploitasi nafsu manusia. Tetapi saya fikir kita boleh berhenti di sana. Gambar itu sudah jelas dan ia memberitahu kita bahawa dalam masa terdekat keadaan akan menjadi lebih teruk. Semalam, pihak berkuasa Moscow meletakkan bandar dengan sepuluh juta penduduk itu di bawah pengasingan diri. Pihak berkuasa wilayah Moscow dan banyak wilayah lain di Rusia, serta jiran terdekat kami di bekas angkasa lepas Soviet, melakukan perkara yang sama. Ini bermakna jumlah mangsa yang berpotensi menjadi sasaran penjenayah siber akan meningkat berlipat kali ganda. Oleh itu, adalah wajar bukan sahaja mempertimbangkan semula strategi keselamatan anda, yang sehingga baru-baru ini tertumpu pada melindungi hanya rangkaian korporat atau jabatan, dan menilai alat perlindungan yang anda kekurangan, tetapi juga mengambil kira contoh yang diberikan dalam program kesedaran kakitangan anda, iaitu menjadi bahagian penting dalam sistem keselamatan maklumat untuk pekerja jauh. A sedia membantu anda dengan ini!
PS. Dalam menyediakan bahan ini, bahan daripada Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security dan syarikat RiskIQ, Jabatan Kehakiman AS, sumber Bleeping Computer, SecurityAffairs, dll. telah digunakan. P.
Sumber: www.habr.com