Het onderwerp coronavirus heeft tegenwoordig alle nieuwsfeeds gevuld en is ook het belangrijkste leidmotief geworden voor verschillende activiteiten van aanvallers die misbruik maken van het onderwerp COVID-19 en alles wat daarmee samenhangt. In deze notitie zou ik de aandacht willen vestigen op enkele voorbeelden van dergelijke kwaadaardige activiteiten, die uiteraard geen geheim zijn voor veel informatiebeveiligingsspecialisten, maar waarvan de samenvatting in één notitie het gemakkelijker zal maken om uw eigen bewustzijn voor te bereiden -evenementen organiseren voor werknemers, van wie sommigen op afstand werken en anderen gevoeliger zijn voor verschillende bedreigingen van de informatiebeveiliging dan voorheen.
Een minuut zorg van een UFO
De wereld heeft officieel de pandemie van COVID-19 uitgeroepen, een potentieel ernstige acute luchtweginfectie veroorzaakt door het SARS-CoV-2-coronavirus (2019-nCoV). Er is veel informatie over Habré over dit onderwerp - onthoud altijd dat het zowel betrouwbaar/nuttig kan zijn als andersom.
Wij raden u aan kritisch te zijn ten aanzien van gepubliceerde informatie.
officiële bronnen
- Websites en officiële groepen van operationele hoofdkantoren in de regio’s
Als u niet in Rusland woont, raadpleeg dan vergelijkbare sites in uw land.
Was je handen, zorg voor je dierbaren, blijf indien mogelijk thuis en werk op afstand.Lees publicaties over: |
Opgemerkt moet worden dat er momenteel geen volledig nieuwe bedreigingen verbonden zijn aan het coronavirus. We hebben het veeleer over aanvalsvectoren die al traditioneel zijn geworden en eenvoudigweg in een nieuwe ‘saus’ worden gebruikt. Dus ik zou de belangrijkste soorten bedreigingen willen noemen:
- phishingsites en nieuwsbrieven gerelateerd aan het coronavirus en gerelateerde kwaadaardige code
- Fraude en desinformatie gericht op het uitbuiten van angst of onvolledige informatie over COVID-19
- aanvallen op organisaties die betrokken zijn bij onderzoek naar het coronavirus
In Rusland, waar burgers de autoriteiten traditioneel niet vertrouwen en geloven dat zij de waarheid voor hen verborgen houden, is de kans op het succesvol ‘promoot’ van phishing-sites en mailinglijsten, evenals frauduleuze bronnen, veel groter dan in landen met meer openheid. autoriteiten. Hoewel vandaag de dag niemand zich als absoluut beschermd kan beschouwen tegen creatieve cyberfraudeurs die gebruik maken van alle klassieke menselijke zwakheden van een persoon – angst, mededogen, hebzucht, enz.
Neem bijvoorbeeld een frauduleuze site die medische maskers verkoopt.
Een soortgelijke site, CoronavirusMedicalkit[.]com, werd door de Amerikaanse autoriteiten gesloten vanwege het gratis distribueren van een niet-bestaand COVID-19-vaccin, met “slechts” verzendkosten om het medicijn te verzenden. In dit geval, met zo'n lage prijs, werd gerekend op de snelle vraag naar het medicijn in panieksituaties in de Verenigde Staten.
Dit is geen klassieke cyberdreiging, aangezien het in dit geval niet de taak van de aanvallers is om gebruikers te infecteren of hun persoonlijke gegevens of identificatie-informatie te stelen, maar eenvoudigweg om op de golf van angst hen te dwingen medische maskers te kopen tegen hoge prijzen. 5-10-30 maal hoger dan de werkelijke kosten. Maar het idee alleen al om een nepwebsite te maken waarin het coronavirus-thema wordt uitgebuit, wordt ook door cybercriminelen gebruikt. Hier is bijvoorbeeld een site waarvan de naam het trefwoord ‘covid19’ bevat, maar die ook een phishing-site is.
Over het algemeen monitoren wij dagelijks onze incidentenonderzoeksdienst , zie je hoeveel domeinen er worden aangemaakt waarvan de namen de woorden covid, covid19, coronavirus, enz. bevatten. En velen van hen zijn kwaadaardig.
In een omgeving waarin een deel van de werknemers van het bedrijf vanuit huis naar hun werk wordt overgeplaatst en zij niet worden beschermd door bedrijfsveiligheidsmaatregelen, is het belangrijker dan ooit om de bronnen te monitoren die toegankelijk zijn vanaf de mobiele en desktopapparaten van werknemers, bewust of zonder hun toestemming. kennis. Als u de dienst niet gebruikt om dergelijke domeinen te detecteren en te blokkeren (en Cisco verbinding met deze service is nu gratis), configureer dan minimaal uw oplossingen voor het monitoren van webtoegang om domeinen met relevante trefwoorden te monitoren. Houd er tegelijkertijd rekening mee dat de traditionele aanpak van het op de zwarte lijst zetten van domeinen en het gebruik van reputatiedatabases kan mislukken, omdat kwaadaardige domeinen zeer snel worden aangemaakt en niet langer dan een paar uur bij slechts één tot twee aanvallen worden gebruikt. aanvallers schakelen over naar nieuwe kortstondige domeinen. Informatiebeveiligingsbedrijven hebben eenvoudigweg geen tijd om hun kennisbanken snel bij te werken en deze onder al hun klanten te verspreiden.
Aanvallers blijven het e-mailkanaal actief misbruiken om phishing-links en malware in bijlagen te verspreiden. En hun effectiviteit is vrij hoog, omdat gebruikers, hoewel ze volledig legale nieuwsmailings over het coronavirus ontvangen, niet altijd iets kwaadaardigs in hun volume kunnen herkennen. En hoewel het aantal geïnfecteerde mensen alleen maar groeit, zal het bereik van dergelijke bedreigingen ook alleen maar toenemen.
Zo ziet een voorbeeld van een phishing-e-mail namens de CDC er bijvoorbeeld uit:
Het volgen van de link leidt uiteraard niet naar de CDC-website, maar naar een neppagina die de login en het wachtwoord van het slachtoffer steelt:
Hier is een voorbeeld van een phishing-e-mail, zogenaamd namens de Wereldgezondheidsorganisatie:
En in dit voorbeeld rekenen de aanvallers erop dat veel mensen geloven dat de autoriteiten de ware omvang van de infectie voor hen verborgen houden, en dat gebruikers daarom vrolijk en vrijwel zonder aarzeling op dit soort brieven klikken met kwaadaardige links of bijlagen die vermoedelijk alle geheimen zal onthullen.
Er bestaat trouwens zo'n site , waarmee u verschillende indicatoren kunt volgen, bijvoorbeeld sterfte, het aantal rokers, de bevolking in verschillende landen, enz. Op de website is ook een pagina gewijd aan het coronavirus. En dus toen ik er op 16 maart naartoe ging, zag ik een pagina die me even deed twijfelen of de autoriteiten ons de waarheid vertelden (ik weet niet wat de reden voor deze cijfers is, misschien gewoon een vergissing):
Een van de populaire infrastructuren die aanvallers gebruiken om soortgelijke e-mails te verzenden is Emotet, een van de gevaarlijkste en populairste bedreigingen van de afgelopen tijd. Word-documenten die bij e-mailberichten zijn gevoegd, bevatten Emotet-downloaders, die nieuwe kwaadaardige modules op de computer van het slachtoffer laden. Emotet werd aanvankelijk gebruikt om links te promoten naar frauduleuze sites die medische maskers verkopen, gericht op inwoners van Japan. Hieronder ziet u het resultaat van het analyseren van een kwaadaardig bestand met behulp van sandboxing , dat bestanden analyseert op kwaadwilligheid.
Maar aanvallers maken niet alleen misbruik van de mogelijkheid om in MS Word te starten, maar ook in andere Microsoft-applicaties, bijvoorbeeld in MS Excel (zo handelde de APT36-hackergroep), door aanbevelingen te sturen over de bestrijding van het coronavirus van de regering van India met daarin Crimson RAT:
Een andere kwaadaardige campagne die misbruik maakt van het coronavirusthema is Nanocore RAT, waarmee je programma's op de computers van slachtoffers kunt installeren voor externe toegang, het onderscheppen van toetsenbordaanslagen, het vastleggen van schermafbeeldingen, het openen van bestanden, enz.
En Nanocore RAT wordt meestal per e-mail geleverd. Hieronder ziet u bijvoorbeeld een voorbeeld van een e-mailbericht met een bijgevoegd ZIP-archief dat een uitvoerbaar PIF-bestand bevat. Door op het uitvoerbare bestand te klikken, installeert het slachtoffer een programma voor externe toegang (Remote Access Tool, RAT) op zijn computer.
Hier is nog een voorbeeld van een parasitaire campagne rond het onderwerp COVID-19. De gebruiker ontvangt een brief over een vermeende vertraging in de levering vanwege het coronavirus met een bijgevoegde factuur met de extensie .pdf.ace. In het gecomprimeerde archief bevindt zich uitvoerbare inhoud die een verbinding tot stand brengt met de command-and-control-server om aanvullende opdrachten te ontvangen en andere doelen van de aanvaller uit te voeren.
Parallax RAT heeft een vergelijkbare functionaliteit, die een bestand verspreidt met de naam “nieuwe geïnfecteerde CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif” en dat een kwaadaardig programma installeert dat via het DNS-protocol met zijn commandoserver communiceert. EDR-klasse beschermingstools, waarvan een voorbeeld is , en ofwel NGFW zal helpen bij het monitoren van de communicatie met commandoservers (bijvoorbeeld ), of DNS-monitoringtools (bijvoorbeeld ).
In het onderstaande voorbeeld werd malware voor externe toegang geïnstalleerd op de computer van een slachtoffer dat om een onbekende reden reclame maakte dat een regulier antivirusprogramma dat op een pc was geïnstalleerd bescherming zou kunnen bieden tegen echte COVID-19. En tenslotte viel iemand voor zo'n schijnbaar grapje.
Maar onder de malware zijn er ook enkele heel vreemde dingen. Bijvoorbeeld grapbestanden die het werk van ransomware nabootsen. In één geval onze Cisco Talos-divisie een bestand met de naam CoronaVirus.exe, dat het scherm tijdens de uitvoering blokkeerde en een timer startte en het bericht “alle bestanden en mappen op deze computer verwijderen - coronavirus.”
Na voltooiing van het aftellen werd de knop onderaan actief en wanneer erop werd gedrukt, werd het volgende bericht weergegeven waarin stond dat dit allemaal een grap was en dat je op Alt+F12 moest drukken om het programma te beëindigen.
De strijd tegen kwaadaardige mailings kan bijvoorbeeld worden geautomatiseerd met behulp van , waarmee u niet alleen schadelijke inhoud in bijlagen kunt detecteren, maar ook phishing-links en klikken erop kunt volgen. Maar zelfs in dit geval mag u het trainen van gebruikers en het regelmatig uitvoeren van phishing-simulaties en cyberoefeningen niet vergeten, waardoor gebruikers worden voorbereid op verschillende trucs van aanvallers die tegen uw gebruikers zijn gericht. Vooral als ze op afstand en via hun persoonlijke e-mail werken, kan kwaadaardige code het bedrijfs- of afdelingsnetwerk binnendringen. Hier zou ik een nieuwe oplossing kunnen aanbevelen , waarmee niet alleen micro- en nanotrainingen voor personeel kunnen worden gegeven over informatiebeveiligingskwesties, maar ook phishing-simulaties voor hen kunnen worden georganiseerd.
Maar als u om de een of andere reden niet klaar bent om dergelijke oplossingen te gebruiken, dan is het de moeite waard om op zijn minst regelmatige mailings naar uw werknemers te organiseren met een herinnering aan het phishing-gevaar, de voorbeelden ervan en een lijst met regels voor veilig gedrag (het belangrijkste is dat aanvallers vermommen zichzelf niet als hen). Een van de mogelijke risico's op dit moment zijn trouwens phishing-mailings die zich voordoen als brieven van uw management, waarin naar verluidt wordt gesproken over nieuwe regels en procedures voor werken op afstand, verplichte software die op externe computers moet worden geïnstalleerd, enz. En vergeet niet dat cybercriminelen naast e-mail ook instant messengers en sociale netwerken kunnen gebruiken.
In dit soort mailing- of bewustmakingsprogramma's kunt u ook het toch al klassieke voorbeeld opnemen van een nep-coronavirusinfectiekaart, die vergelijkbaar was met die Johns Hopkins Universiteit. Verschil was dat bij toegang tot een phishing-site malware op de computer van de gebruiker werd geïnstalleerd, die gebruikersaccountgegevens stal en deze naar cybercriminelen stuurde. Eén versie van een dergelijk programma creëerde ook RDP-verbindingen voor externe toegang tot de computer van het slachtoffer.
Trouwens, over RDP. Dit is een andere aanvalsvector die aanvallers actiever beginnen te gebruiken tijdens de coronaviruspandemie. Veel bedrijven maken bij het overstappen op werken op afstand gebruik van diensten zoals RDP, die, als ze door haast verkeerd worden geconfigureerd, ertoe kunnen leiden dat aanvallers zowel externe gebruikerscomputers als binnen de bedrijfsinfrastructuur infiltreren. Bovendien kunnen verschillende RDP-implementaties, zelfs met de juiste configuratie, kwetsbaarheden bevatten die door aanvallers kunnen worden uitgebuit. Cisco Talos bijvoorbeeld meerdere kwetsbaarheden in FreeRDP, en in mei vorig jaar werd een kritieke kwetsbaarheid CVE-2019-0708 ontdekt in de Microsoft Remote Desktop-service, waardoor willekeurige code op de computer van het slachtoffer kon worden uitgevoerd, malware kon worden geïntroduceerd, enz. Er werd zelfs een nieuwsbrief over haar verspreid en bijvoorbeeld Cisco Talos aanbevelingen voor bescherming ertegen.
Er is nog een voorbeeld van de uitbuiting van het coronavirusthema: de reële dreiging van infectie van de familie van het slachtoffer als ze weigeren het losgeld in bitcoins te betalen. Om het effect te vergroten, om de brief betekenis te geven en een gevoel van almacht bij de afperser te creëren, werd het wachtwoord van het slachtoffer uit een van zijn accounts, verkregen uit openbare databases met logins en wachtwoorden, in de tekst van de brief ingevoegd.
In een van de bovenstaande voorbeelden liet ik een phishingbericht van de Wereldgezondheidsorganisatie zien. En hier is nog een voorbeeld waarin gebruikers om financiële hulp worden gevraagd om COVID-19 te bestrijden (hoewel in de kop van de brief het woord ‘DONATIE’ meteen opvalt). En ze vragen om hulp in bitcoins ter bescherming tegen bijhouden van cryptocurrency.
En tegenwoordig zijn er veel van dergelijke voorbeelden die het medeleven van gebruikers exploiteren:
Bitcoins zijn op een andere manier gerelateerd aan COVID-19. Zo zien de mailings eruit die veel Britse burgers ontvangen die thuis zitten en geen geld kunnen verdienen (in Rusland zal dit nu ook relevant worden).
Deze mailings, vermomd als bekende kranten en nieuwssites, bieden gemakkelijk geld door cryptocurrencies te minen op speciale sites. Sterker nog, na enige tijd ontvang je een bericht dat het verdiende bedrag kan worden opgenomen op een speciale rekening, maar daarvoor moet je wel een klein bedrag aan belastingen overmaken. Het is duidelijk dat de oplichters na ontvangst van dit geld niets teruggeven en dat de goedgelovige gebruiker het overgemaakte geld verliest.
Er is nog een andere dreiging verbonden aan de Wereldgezondheidsorganisatie. Hackers hebben de DNS-instellingen van D-Link- en Linksys-routers gehackt, die vaak worden gebruikt door thuisgebruikers en kleine bedrijven, om ze door te sturen naar een nepwebsite met een pop-upwaarschuwing over de noodzaak om de WHO-app te installeren, waardoor ze op de hoogte van het laatste nieuws over het coronavirus. Bovendien bevatte de applicatie zelf het kwaadaardige programma Oski, dat informatie steelt.
Een soortgelijk idee met een applicatie die de huidige status van de COVID-19-infectie bevat, wordt uitgebuit door de Android-trojan CovidLock, die wordt verspreid via een applicatie die zogenaamd ‘gecertificeerd’ is door het Amerikaanse ministerie van Onderwijs, de WHO en het Center for Epidemic Control ( CDC).
Veel gebruikers bevinden zich tegenwoordig in zelfisolatie en maken, omdat ze niet willen of kunnen koken, actief gebruik van bezorgdiensten voor voedsel, boodschappen of andere goederen, zoals toiletpapier. Aanvallers hebben deze vector ook voor hun eigen doeleinden onder de knie. Dit is bijvoorbeeld hoe een kwaadaardige website eruit ziet, vergelijkbaar met een legitieme bron die eigendom is van Canada Post. De link uit de door het slachtoffer ontvangen sms leidt naar een website die meldt dat het bestelde product niet geleverd kan worden omdat er slechts €3 ontbreekt, wat bijbetaald moet worden. In dit geval wordt de gebruiker doorgestuurd naar een pagina waar hij de gegevens van zijn creditcard moet opgeven... met alle gevolgen van dien.
Tot slot wil ik nog twee voorbeelden geven van cyberdreigingen die verband houden met COVID-19. De plug-ins “COVID-19 Coronavirus - Live Map WordPress Plugin”, “Coronavirus Spread Prediction Graphs” of “Covid-19” zijn bijvoorbeeld ingebouwd in sites die de populaire WordPress-engine gebruiken en, samen met het weergeven van een kaart van de verspreiding van de coronavirus, bevatten ook de WP-VCD-malware. En het bedrijf Zoom, dat in de nasleep van de groei van het aantal online evenementen heel erg populair werd, kreeg te maken met wat experts ‘Zoombombing’ noemden. De aanvallers, maar in feite gewone pornotrollen, maakten verbinding met onlinechats en onlinebijeenkomsten en lieten verschillende obscene video’s zien. Overigens worden Russische bedrijven vandaag de dag met een soortgelijke dreiging geconfronteerd.
Ik denk dat de meesten van ons regelmatig verschillende bronnen raadplegen, zowel officieel als niet zo officieel, over de huidige status van de pandemie. Aanvallers maken misbruik van dit onderwerp en bieden ons de ‘laatste’ informatie over het coronavirus, inclusief informatie ‘die de autoriteiten voor u verborgen houden’. Maar zelfs gewone gewone gebruikers hebben aanvallers de laatste tijd vaak geholpen door codes met geverifieerde feiten van ‘kennissen’ en ‘vrienden’ te sturen. Psychologen zeggen dat dergelijke activiteiten van ‘alarmistische’ gebruikers, die alles uitzenden wat in hun gezichtsveld komt (vooral in sociale netwerken en instant messengers, die niet over beschermingsmechanismen tegen dergelijke bedreigingen beschikken), hen in staat stellen zich betrokken te voelen bij de strijd tegen een mondiale dreiging en voelen zich zelfs helden die de wereld redden van het coronavirus. Maar helaas leidt het gebrek aan speciale kennis ertoe dat deze goede bedoelingen ‘iedereen naar de hel leiden’, waardoor nieuwe bedreigingen voor de cyberveiligheid ontstaan en het aantal slachtoffers toeneemt.
Ik zou zelfs kunnen doorgaan met voorbeelden van cyberdreigingen die verband houden met het coronavirus; Bovendien staan cybercriminelen niet stil en komen ze met steeds meer nieuwe manieren om menselijke passies te exploiteren. Maar ik denk dat we daar kunnen stoppen. Het beeld is al duidelijk en het vertelt ons dat de situatie in de nabije toekomst alleen maar erger zal worden. Gisteren plaatsten de autoriteiten in Moskou de stad met tien miljoen inwoners in zelfisolatie. De autoriteiten van de regio Moskou en vele andere regio's van Rusland, evenals onze naaste buren in de voormalige post-Sovjet-ruimte, deden hetzelfde. Dit betekent dat het aantal potentiële slachtoffers waarop cybercriminelen het doelwit zijn, vele malen zal toenemen. Daarom is het de moeite waard om niet alleen uw beveiligingsstrategie, die tot voor kort alleen gericht was op het beschermen van een bedrijfs- of afdelingsnetwerk, te heroverwegen en te beoordelen welke beveiligingsinstrumenten u mist, maar ook rekening te houden met de voorbeelden die zijn gegeven in uw personeelsbewustzijnsprogramma, namelijk een belangrijk onderdeel worden van het informatiebeveiligingssysteem voor externe werknemers. A klaar om u hierbij te helpen!
PS. Bij het voorbereiden van dit materiaal is gebruik gemaakt van materialen van Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security en RiskIQ, het Amerikaanse ministerie van Justitie, Bleeping Computer-bronnen, SecurityAffairs, enz.
Bron: www.habr.com