Is-suġġett tal-koronavirus illum mela l-aħbarijiet kollha, u sar ukoll il-leitmotiv ewlieni għal diversi attivitajiet ta 'attakkanti li jisfruttaw is-suġġett tal-COVID-19 u dak kollu konness miegħu. F'din in-nota, nixtieq niġbed l-attenzjoni għal xi eżempji ta 'attività malizzjuża bħal din, li, ovvjament, mhix sigrieta għal ħafna speċjalisti tas-sigurtà tal-informazzjoni, iżda s-sommarju tagħhom f'nota waħda jagħmilha aktar faċli biex tipprepara l-għarfien tiegħek stess. -tqajjem avvenimenti għall-impjegati, li wħud minnhom jaħdmu mill-bogħod u oħrajn aktar suxxettibbli għal diversi theddid għas-sigurtà tal-informazzjoni minn qabel.
Minuta ta 'kura minn UFO
Id-dinja ddikjarat uffiċjalment pandemija ta' COVID-19, infezzjoni respiratorja akuta potenzjalment severa kkawżata mill-koronavirus SARS-CoV-2 (2019-nCoV). Hemm ħafna informazzjoni dwar Habré dwar dan is-suġġett – dejjem ftakar li tista’ tkun kemm ta’ min joqgħod fuqha/utli u viċeversa.
Inħeġġuk tikkritika kwalunkwe informazzjoni ppubblikata.
Sorsi uffiċjali
- Websajts u gruppi uffiċjali tal-kwartieri ġenerali operattivi fir-reġjuni
Jekk ma tgħix fir-Russja, jekk jogħġbok irreferi għal siti simili f'pajjiżek.
Aħsel idejk, ħu ħsieb il-maħbubin tiegħek, oqgħod id-dar jekk possibbli u aħdem mill-bogħod.Aqra pubblikazzjonijiet dwar: |
Ta’ min jinnota li llum m’hemm l-ebda theddid kompletament ġdid assoċjat mal-koronavirus. Pjuttost, qed nitkellmu dwar vettori ta 'attakk li diġà saru tradizzjonali, sempliċement użati f'"zalza" ġdida. Allura, nsejjaħ it-tipi ewlenin ta 'theddid:
- siti ta’ phishing u newsletters relatati mal-koronavirus u kodiċi malizzjuż relatat
- Frodi u diżinformazzjoni mmirati biex jisfruttaw il-biża' jew informazzjoni mhux kompluta dwar COVID-19
- attakki kontra organizzazzjonijiet involuti fir-riċerka dwar il-koronavirus
Fir-Russja, fejn iċ-ċittadini tradizzjonalment ma jafdawx lill-awtoritajiet u jemmnu li qed jaħbu l-verità minnhom, il-probabbiltà li b'suċċess "jippromwovu" siti ta' phishing u listi tal-posta, kif ukoll riżorsi frawdolenti, hija ħafna ogħla milli f'pajjiżi b'aktar miftuħa. awtoritajiet. Għalkemm illum ħadd ma jista 'jikkunsidra lilu nnifsu assolutament protett minn frodisti ċibernetiċi kreattivi li jużaw id-dgħufijiet umani klassiċi kollha ta' persuna - biża ', kompassjoni, regħba, eċċ.
Ħu, pereżempju, sit frawdolenti li jbigħ maskri mediċi.
Sit simili, CoronavirusMedicalkit[.]com, ingħalaq mill-awtoritajiet tal-Istati Uniti talli qassam vaċċin COVID-19 ineżistenti b'xejn b'pustaġġ "biss" biex tinġarr il-mediċina. F'dan il-każ, bi prezz daqshekk baxx, il-kalkolu kien għad-domanda għaġla għall-mediċina f'kundizzjonijiet ta 'paniku fl-Istati Uniti.
Din mhix theddida ċibernetika klassika, peress li l-kompitu tal-attakkanti f'dan il-każ mhuwiex li jinfetta lill-utenti jew jisirqu d-dejta personali jew l-informazzjoni ta 'identifikazzjoni tagħhom, iżda sempliċement fuq il-mewġa ta' biża 'li jġiegħelhom joħorġu u jixtru maskri mediċi bi prezzijiet minfuħa. minn 5-10-30 darba li taqbeż l-ispiża attwali. Iżda l-idea stess li jinħoloq websajt falza li tisfrutta t-tema tal-koronavirus qed tintuża wkoll miċ-ċiberkriminali. Pereżempju, hawn sit li ismu fih il-kelma prinċipali “covid19”, iżda li huwa wkoll sit ta’ phishing.
B'mod ġenerali, monitoraġġ ta 'kuljum is-servizz tagħna ta' investigazzjoni ta 'inċidenti , tara kemm qed jinħolqu oqsma li l-ismijiet tagħhom fihom il-kliem covid, covid19, coronavirus, eċċ. U ħafna minnhom huma malizzjużi.
F'ambjent fejn xi wħud mill-impjegati tal-kumpanija jiġu trasferiti għax-xogħol mid-dar u ma jkunux protetti minn miżuri ta' sigurtà korporattiva, huwa aktar importanti minn qatt qabel li jiġu mmonitorjati r-riżorsi li jiġu aċċessati mill-apparat mobbli u desktop tal-impjegati, xjentement jew mingħajrhom. għarfien. Jekk m'intix qed tuża s-servizz biex tiskopri u timblokka oqsma bħal dawn (u Cisco konnessjoni ma’ dan is-servizz issa hija b’xejn), imbagħad mill-inqas ikkonfigura s-soluzzjonijiet ta’ monitoraġġ tal-aċċess għall-Web tiegħek biex tissorvelja oqsma b’kliem kjavi rilevanti. Fl-istess ħin, ftakar li l-approċċ tradizzjonali għall-lista sewda tad-dominji, kif ukoll l-użu tad-databases tar-reputazzjoni, jista 'jfalli, peress li dominji malizzjużi jinħolqu malajr ħafna u jintużaw biss f'attakki 1-2 għal mhux aktar minn ftit sigħat - allura l- l-attakkanti jaqilbu għal oqsma ġodda effimeri. Il-kumpaniji tas-sigurtà tal-informazzjoni sempliċement m'għandhomx ħin biex jaġġornaw malajr il-bażijiet tal-għarfien tagħhom u jqassmuhom lill-klijenti kollha tagħhom.
L-attakkanti jkomplu jisfruttaw b'mod attiv il-kanal tal-email biex iqassmu links tal-phishing u malware fl-annessi. U l-effettività tagħhom hija pjuttost għolja, peress li l-utenti, filwaqt li jirċievu aħbarijiet kompletament legali dwar il-koronavirus, ma jistgħux dejjem jirrikonoxxu xi ħaġa malizzjuża fil-volum tagħhom. U filwaqt li n-numru ta 'nies infettati qed jikber biss, il-firxa ta' theddid bħal dan se tikber ukoll.
Pereżempju, hekk jidher eżempju ta' email ta' phishing f'isem is-CDC:
Is-segwitu tal-link, ovvjament, ma jwassalx għall-websajt tas-CDC, iżda għal paġna falza li tisraq il-login u l-password tal-vittma:
Hawn eżempju ta' email ta' phishing li suppost f'isem l-Organizzazzjoni Dinjija tas-Saħħa:
U f'dan l-eżempju, l-attakkanti qed jistrieħu fuq il-fatt li ħafna nies jemmnu li l-awtoritajiet qed jaħbu l-iskala vera tal-infezzjoni minnhom, u għalhekk l-utenti kuntenti u kważi mingħajr eżitazzjoni ikklikkja fuq dawn it-tipi ta 'ittri b'rabtiet jew attachments malizzjużi li allegatament se jiżvela s-sigrieti kollha.
Mill-mod, hemm sit bħal dan , li jippermettilek issegwi diversi indikaturi, pereżempju, il-mortalità, in-numru ta 'dawk li jpejpu, il-popolazzjoni f'pajjiżi differenti, eċċ. Il-websajt għandha wkoll paġna ddedikata għall-koronavirus. U allura meta mort fiha fis-16 ta’ Marzu, rajt paġna li għal mument għamlitni dubju li l-awtoritajiet kienu qed jgħidulna l-verità (ma nafx x’inhi r-raġuni għal dawn in-numri, forsi żball biss):
Waħda mill-infrastrutturi popolari li l-attakkanti jużaw biex jibagħtu emails simili hija Emotet, waħda mill-aktar theddid perikolużi u popolari ta 'żminijiet riċenti. Dokumenti Word mehmuża ma 'messaġġi email fihom Emotet downloaders, li jillowdja moduli malizzjużi ġodda fuq il-kompjuter tal-vittma. Emotet inizjalment intuża biex jippromwovi links għal siti frawdolenti li jbiegħu maskri mediċi, immirati lejn residenti tal-Ġappun. Hawn taħt tara r-riżultat tal-analiżi ta 'fajl malizzjuż bl-użu ta' sandboxing , li janalizza fajls għal malizzjuż.
Iżda l-attakkanti jisfruttaw mhux biss il-kapaċità li jniedu f'MS Word, iżda wkoll f'applikazzjonijiet oħra ta' Microsoft, pereżempju, f'MS Excel (dan huwa kif aġixxa l-grupp tal-hackers APT36), jibgħat rakkomandazzjonijiet dwar il-ġlieda kontra l-koronavirus mill-Gvern tal-Indja li fih Crimson. RAT:
Kampanja malizzjuża oħra li tisfrutta t-tema tal-koronavirus hija Nanocore RAT, li tippermettilek tinstalla programmi fuq kompjuters vittmi għal aċċess mill-bogħod, tinterċetta d-daqq tat-tastiera, taqbad immaġini tal-iskrin, taċċessa fajls, eċċ.
U Nanocore RAT normalment jitwassal bl-e-mail. Pereżempju, hawn taħt tara eżempju ta' messaġġ bil-posta b'arkivju ZIP mehmuż li fih fajl PIF eżekutibbli. Billi tikklikkja fuq il-fajl eżekutibbli, il-vittma jinstalla programm ta 'aċċess mill-bogħod (Remote Access Tool, RAT) fuq il-kompjuter tiegħu.
Hawn eżempju ieħor ta’ kampanja parassitika dwar is-suġġett tal-COVID-19. L-utent jirċievi ittra dwar dewmien fil-kunsinna suppost minħabba l-koronavirus b'fattura mehmuża bl-estensjoni .pdf.ace. Ġewwa l-arkivju kompressat hemm kontenut eżekutibbli li jistabbilixxi konnessjoni mas-server tal-kmand u l-kontroll biex jirċievi kmandi addizzjonali u jwettaq għanijiet oħra tal-attakkant.
Parallax RAT għandu funzjonalità simili, li tqassam fajl bl-isem "sema CORONAVIRUS infettat ġdid 03.02.2020/XNUMX/XNUMX.pif" u li jinstalla programm malizzjuż li jinteraġixxi mas-server tal-kmand tiegħu permezz tal-protokoll DNS. Għodod ta 'protezzjoni tal-klassi EDR, eżempju tagħhom huwa , u jew NGFW se jgħin biex jimmonitorja l-komunikazzjonijiet mas-servers tal-kmand (pereżempju, ), jew għodod ta’ monitoraġġ tad-DNS (per eżempju, ).
Fl-eżempju hawn taħt, malware ta’ aċċess mill-bogħod ġie installat fuq il-kompjuter ta’ vittma li, għal xi raġuni mhux magħrufa, xtrat biex tirreklama li programm antivirus regolari installat fuq PC jista’ jipproteġi kontra COVID-19 reali. U wara kollox, xi ħadd waqa’ għal ċajta bħal din li tidher.
Iżda fost il-malware hemm ukoll xi affarijiet tassew strambi. Pereżempju, fajls taċ-ċajt li jimitaw ix-xogħol tar-ransomware. F'każ wieħed, id-diviżjoni tagħna Cisco Talos fajl bl-isem CoronaVirus.exe, li mblokka l-iskrin waqt l-eżekuzzjoni u beda tajmer u l-messaġġ "tħassar il-fajls u l-folders kollha fuq dan il-kompjuter - coronavirus."
Mat-tlestija tal-countdown, il-buttuna fil-qiegħ saret attiva u meta ppressat, intwera l-messaġġ li ġej, li jgħid li dan kollu kien ċajta u li għandek tagħfas Alt + F12 biex ittemm il-programm.
Il-ġlieda kontra mailings malizzjużi jistgħu jiġu awtomatizzati, per eżempju, bl-użu , li jippermettilek li tiskopri mhux biss kontenut malizzjuż fl-annessi, iżda wkoll issegwi links tal-phishing u klikks fuqhom. Iżda anke f'dan il-każ, m'għandekx tinsa dwar it-taħriġ tal-utenti u t-twettiq b'mod regolari ta 'simulazzjonijiet ta' phishing u eżerċizzji ċibernetiċi, li jippreparaw lill-utenti għal diversi tricks ta 'attakkanti mmirati kontra l-utenti tiegħek. Speċjalment jekk jaħdmu mill-bogħod u permezz tal-email personali tagħhom, kodiċi malizzjuż jista 'jippenetra fin-netwerk korporattiv jew dipartimentali. Hawnhekk nista 'nirrakkomanda soluzzjoni ġdida , li tippermetti mhux biss li twettaq mikro u nano-taħriġ tal-persunal dwar kwistjonijiet ta 'sigurtà tal-informazzjoni, iżda wkoll li torganizza simulazzjonijiet ta' phishing għalihom.
Imma jekk għal xi raġuni m'intix lest li tuża soluzzjonijiet bħal dawn, allura ta 'min jorganizza għall-inqas mailings regolari lill-impjegati tiegħek b'tfakkira tal-periklu tal-phishing, l-eżempji tiegħu u lista ta' regoli għal imġieba sigura (il-ħaġa prinċipali hija li l-attakkanti ma jaħbux lilhom infushom bħala minnhom). Mill-mod, wieħed mir-riskji possibbli fil-preżent huwa phishing mailings maskra bħala ittri mill-maniġment tiegħek, li allegatament jitkellmu dwar regoli u proċeduri ġodda għal xogħol mill-bogħod, softwer obbligatorju li għandu jiġi installat fuq kompjuters remoti, eċċ. U tinsiex li minbarra l-email, iċ-ċiberkriminali jistgħu jużaw messaġġiera instantanja u netwerks soċjali.
F'dan it-tip ta 'posta jew programm ta' tqajjim ta' kuxjenza, tista' tinkludi wkoll l-eżempju diġà klassiku ta' mappa falza ta' infezzjoni tal-koronavirus, li kienet simili għal dik Università Johns Hopkins. Differenza kienet li meta wieħed jaċċessa sit ta’ phishing, ġie installat malware fuq il-kompjuter tal-utent, li seraq l-informazzjoni tal-kont tal-utent u bagħatha liċ-ċiberkriminali. Verżjoni waħda ta 'tali programm ħolqot ukoll konnessjonijiet RDP għal aċċess remot għall-kompjuter tal-vittma.
Mill-mod, dwar RDP. Dan huwa vettur ieħor ta' attakk li l-attakkanti qed jibdew jużaw b'mod aktar attiv matul il-pandemija tal-koronavirus. Ħafna kumpaniji, meta jaqilbu għal xogħol mill-bogħod, jużaw servizzi bħal RDP, li, jekk ikkonfigurati ħażin minħabba l-għaġla, jistgħu jwasslu biex attakkanti jinfiltraw kemm kompjuters tal-utenti remoti kif ukoll ġewwa l-infrastruttura korporattiva. Barra minn hekk, anke b'konfigurazzjoni korretta, diversi implimentazzjonijiet RDP jista 'jkollhom vulnerabbiltajiet li jistgħu jiġu sfruttati minn attakkanti. Per eżempju, Cisco Talos vulnerabbiltajiet multipli fil-FreeRDP, u f'Mejju tas-sena li għaddiet, ġiet skoperta vulnerabbiltà kritika CVE-2019-0708 fis-servizz Microsoft Remote Desktop, li ppermetta li jiġi esegwit kodiċi arbitrarju fuq il-kompjuter tal-vittma, jiġi introdott malware, eċċ. Saħansitra tqassmet newsletter dwarha , u, pereżempju, Cisco Talos rakkomandazzjonijiet għall-protezzjoni kontriha.
Hemm eżempju ieħor tal-isfruttament tat-tema tal-koronavirus - it-theddida reali ta 'infezzjoni tal-familja tal-vittma jekk jirrifjutaw li jħallsu l-fidwa f'bitcoins. Biex ittejjeb l-effett, biex tagħti sinifikat lill-ittra u toħloq sens ta 'omnipotenza tal-estorsjonista, il-password tal-vittma minn wieħed mill-kontijiet tiegħu, miksuba minn databases pubbliċi ta' logins u passwords, iddaħħlet fit-test tal-ittra.
F'wieħed mill-eżempji ta' hawn fuq, wrejt messaġġ ta' phishing mill-Organizzazzjoni Dinjija tas-Saħħa. U hawn eżempju ieħor li fih l-utenti huma mitluba għall-għajnuna finanzjarja biex jiġġieldu kontra COVID-19 (għalkemm fil-header fil-korp tal-ittra, il-kelma "DONAZZJONI" hija immedjatament notevoli). U jitolbu għajnuna fil-bitcoins biex jipproteġu kontra traċċar tal-kripto-munita.
U llum hemm ħafna eżempji bħal dawn li jisfruttaw il-kompassjoni tal-utenti:
Bitcoins huma relatati ma 'COVID-19 b'mod ieħor. Pereżempju, hekk jidhru l-inviti li jirċievu ħafna ċittadini Brittaniċi li jkunu bilqiegħda d-dar u ma jistgħux jaqilgħu l-flus (fir-Russja issa dan se jsir rilevanti wkoll).
Masquerading bħala gazzetti magħrufa sew u siti tal-aħbarijiet, dawn il-mailings joffru flus faċli billi jħaffru kripto-muniti fuq siti speċjali. Fil-fatt, wara xi żmien, tirċievi messaġġ li l-ammont li tkun qlajt jista’ jiġi rtirat f’kont speċjali, iżda qabel dan trid tittrasferixxi ammont żgħir ta’ taxxi. Huwa ċar li wara li jirċievu dawn il-flus, l-scammers ma jittrasferixxu xejn lura, u l-utent gullible jitlef il-flus trasferiti.
Hemm theddida oħra assoċjata mal-Organizzazzjoni Dinjija tas-Saħħa. Il-hackers ħakkjaw is-settings tad-DNS tar-routers D-Link u Linksys, li ħafna drabi jintużaw minn utenti domestiċi u negozji żgħar, sabiex jidderieġuhom lejn websajt falza bi twissija pop-up dwar il-ħtieġa li tiġi installata l-app WHO, li żżommhom. aġġornata bl-aħħar aħbarijiet dwar il-koronavirus. Barra minn hekk, l-applikazzjoni nnifisha kien fiha l-programm malizzjuż Oski, li jisraq l-informazzjoni.
Idea simili b'applikazzjoni li fiha l-istatus attwali ta 'infezzjoni COVID-19 hija sfruttata mill-Android Trojan CovidLock, li huwa mqassam permezz ta' applikazzjoni li suppost hija "ċertifikata" mid-Dipartiment tal-Edukazzjoni tal-Istati Uniti, WHO u ċ-Ċentru għall-Kontroll tal-Epidemija ( CDC).
Ħafna utenti llum huma f'iżolament infushom u, ma jridux jew ma jistgħux isajru, jużaw b'mod attiv is-servizzi tal-kunsinna għall-ikel, prodotti tal-merċa jew oġġetti oħra, bħal toilet paper. L-attakkanti wkoll ħakmu dan il-vettur għall-iskopijiet tagħhom stess. Per eżempju, dan huwa kif tidher websajt malizzjuża, simili għal riżors leġittimu proprjetà ta 'Canada Post. Il-link mill-SMS li jirċievi l-vittma twassal għal websajt li tirrapporta li l-prodott ordnat ma jistax jiġi kkunsinnat minħabba li huma nieqsa $3 biss, li jridu jitħallsu żejjed. F'dan il-każ, l-utent jiġi dirett lejn paġna fejn irid jindika d-dettalji tal-karta tal-kreditu tiegħu... bil-konsegwenzi kollha li jirriżultaw.
Bħala konklużjoni, nixtieq nagħti żewġ eżempji oħra ta’ theddid ċibernetiku relatat mal-COVID-19. Pereżempju, il-plugins “COVID-19 Coronavirus - Live Map WordPress Plugin”, “Coronavirus Spread Prediction Graphs” jew “Covid-19” huma mibnija f’siti li jużaw il-magna WordPress popolari u, flimkien mal-wiri ta’ mappa tat-tixrid tal- koronavirus, fihom ukoll il-malware WP-VCD. U l-kumpanija Zoom, li, fid-dawl tat-tkabbir fin-numru ta 'avvenimenti online, saret popolari ħafna, ħafna, kienet iffaċċjata ma' dak li l-esperti sejħu "Zoombombing." L-attakkanti, iżda fil-fatt trolls pornografiċi ordinarji, konnessi ma 'chats online u laqgħat onlajn u wrew diversi filmati oxxen. Mill-mod, theddida simili jiltaqgħu magħhom illum mill-kumpaniji Russi.
Naħseb li ħafna minna niċċekkjaw regolarment diversi riżorsi, kemm uffiċjali kif ukoll mhux daqshekk uffiċjali, dwar l-istatus attwali tal-pandemija. L-attakkanti qed jisfruttaw dan is-suġġett, u joffrulna l-"aħħar" informazzjoni dwar il-koronavirus, inkluża informazzjoni "li l-awtoritajiet qed jaħbu minnek." Iżda anke utenti ordinarji ordinarji reċentement ħafna drabi għenu lill-attakkanti billi bagħtu kodiċijiet ta 'fatti verifikati minn "konoxxenti" u "ħbieb." Psikologi jgħidu li tali attività ta 'utenti "allarmisti" li jibagħtu dak kollu li jidħol fil-kamp viżiv tagħhom (speċjalment f'netwerks soċjali u messaġġiera immedjata, li m'għandhomx mekkaniżmi ta' protezzjoni kontra tali theddid), tippermettilhom iħossuhom involuti fil-ġlieda kontra theddida globali u, anki jħossu bħal eroj li jsalvaw id-dinja mill-koronavirus. Iżda, sfortunatament, in-nuqqas ta 'għarfien speċjali jwassal għall-fatt li dawn l-intenzjonijiet tajbin "jwasslu lil kulħadd għall-infern," joħolqu theddid ġdid għaċ-ċibersigurtà u jespandu n-numru ta' vittmi.
Fil-fatt, nista’ nkompli b’eżempji ta’ theddid ċibernetiku relatat mal-koronavirus; Barra minn hekk, iċ-ċiberkriminali ma jieqfux u joħorġu b'aktar u aktar modi ġodda biex jisfruttaw il-passjonijiet umani. Imma naħseb li nistgħu nieqfu hemm. L-istampa hija diġà ċara u tgħidilna li fil-futur qarib is-sitwazzjoni se tiggrava biss. Ilbieraħ, l-awtoritajiet ta 'Moska poġġew il-belt ta' għaxar miljun ruħ taħt awto-iżolament. L-awtoritajiet tar-reġjun ta 'Moska u ħafna reġjuni oħra tar-Russja, kif ukoll l-eqreb ġirien tagħna fl-ispazju ta' qabel post-Sovjetiku, għamlu l-istess. Dan ifisser li n-numru ta’ vittmi potenzjali fil-mira taċ-ċiberkriminali se jiżdied ħafna drabi. Għalhekk, ta 'min mhux biss tikkunsidra mill-ġdid l-istrateġija tas-sigurtà tiegħek, li sa ftit ilu kienet iffukata fuq il-protezzjoni ta' netwerk korporattiv jew dipartimentali biss, u tivvaluta liema għodod ta 'protezzjoni jonqosek, iżda wkoll tqis l-eżempji mogħtija fil-programm ta' għarfien tal-persunal tiegħek, li huwa issir parti importanti mis-sistema tas-sigurtà tal-informazzjoni għall-ħaddiema remoti. A lest li jgħinek b'dan!
PS. Fil-preparazzjoni ta 'dan il-materjal, intużaw materjali minn Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security u kumpaniji RiskIQ, id-Dipartiment tal-Ġustizzja tal-Istati Uniti, riżorsi tal-Bleeping Computer, SecurityAffairs, eċċ.. P.
Sors: www.habr.com