Temaet koronavirus i dag har fylt alle nyhetsfeeds, og har også blitt hovedledemotivet for ulike aktiviteter til angripere som utnytter temaet COVID-19 og alt knyttet til det. I dette notatet vil jeg trekke oppmerksomhet til noen eksempler på slik ondsinnet aktivitet, som selvfølgelig ikke er en hemmelighet for mange informasjonssikkerhetsspesialister, men oppsummeringen av disse i ett notat vil gjøre det lettere å forberede din egen bevissthet -heve arrangementer for ansatte, hvorav noen jobber eksternt og andre er mer utsatt for ulike informasjonssikkerhetstrusler enn tidligere.
Et minutts omsorg fra en UFO
Verden har offisielt erklært en pandemi av COVID-19, en potensielt alvorlig akutt luftveisinfeksjon forårsaket av SARS-CoV-2-koronaviruset (2019-nCoV). Det er mye informasjon om Habré om dette emnet - husk alltid at det kan være både pålitelig/nyttig og omvendt.
Vi oppfordrer deg til å være kritisk til all informasjon som publiseres.
Offisielle kilder
- Nettsteder og offisielle grupper av operative hovedkvarterer i regionene
Hvis du ikke bor i Russland, vennligst se lignende nettsteder i ditt land.
Vask hendene, ta vare på dine kjære, bli hjemme hvis mulig og arbeid eksternt.Les publikasjoner om: |
Det skal bemerkes at det ikke er noen helt nye trusler knyttet til koronaviruset i dag. Snarere snakker vi om angrepsvektorer som allerede har blitt tradisjonelle, ganske enkelt brukt i en ny "saus". Så jeg vil kalle de viktigste typene trusler:
- phishing-nettsteder og nyhetsbrev relatert til koronavirus og relatert ondsinnet kode
- Svindel og desinformasjon rettet mot å utnytte frykt eller ufullstendig informasjon om COVID-19
- angrep mot organisasjoner involvert i koronavirusforskning
I Russland, hvor innbyggerne tradisjonelt ikke stoler på myndighetene og tror at de skjuler sannheten for dem, er sannsynligheten for å lykkes med å "promovere" phishing-nettsteder og e-postlister, så vel som uredelige ressurser, mye høyere enn i land med mer åpne autoriteter. Selv om ingen i dag kan betrakte seg som absolutt beskyttet mot kreative cybersvindlere som bruker alle de klassiske menneskelige svakhetene til en person - frykt, medfølelse, grådighet, etc.
Ta for eksempel et uredelig nettsted som selger medisinske masker.
Et lignende nettsted, CoronavirusMedicalkit[.]com, ble stengt av amerikanske myndigheter fordi de distribuerte en ikke-eksisterende COVID-19-vaksine gratis, med "bare" porto for å sende medisinen. I dette tilfellet, med en så lav pris, var beregningen for rushetterspørselen etter medisinen under panikktilstander i USA.
Dette er ikke en klassisk cybertrussel, siden oppgaven til angripere i dette tilfellet ikke er å infisere brukere eller stjele deres personlige data eller identifikasjonsinformasjon, men rett og slett på fryktbølgen for å tvinge dem til å skille seg ut og kjøpe medisinske masker til høye priser med 5-10-30 ganger over den faktiske kostnaden. Men selve ideen om å lage et falskt nettsted som utnytter koronavirus-temaet, blir også brukt av nettkriminelle. For eksempel, her er et nettsted hvis navn inneholder søkeordet "covid19", men som også er et phishing-nettsted.
Generelt daglig overvåking vår tjeneste for etterforskning av hendelser , ser du hvor mange domener som blir opprettet hvis navn inneholder ordene covid, covid19, coronavirus, etc. Og mange av dem er ondsinnede.
I et miljø der noen av selskapets ansatte blir overført til å jobbe hjemmefra og de ikke er beskyttet av bedriftens sikkerhetstiltak, er det viktigere enn noen gang å overvåke ressursene som er tilgjengelig fra ansattes mobile og stasjonære enheter, bevisst eller uten deres kunnskap. Hvis du ikke bruker tjenesten for å oppdage og blokkere slike domener (og Cisco tilkobling til denne tjenesten er nå gratis), så konfigurer som et minimum overvåkingsløsningene for nettilgang til å overvåke domener med relevante nøkkelord. Samtidig, husk at den tradisjonelle tilnærmingen til svartelisting av domener, så vel som bruk av omdømmedatabaser, kan mislykkes, siden ondsinnede domener opprettes veldig raskt og brukes i bare 1-2 angrep i ikke lenger enn noen få timer - da angripere bytter til nye flyktige domener. Informasjonssikkerhetsselskaper har rett og slett ikke tid til å raskt oppdatere kunnskapsbasene sine og distribuere dem til alle sine kunder.
Angripere fortsetter å aktivt utnytte e-postkanalen for å distribuere phishing-lenker og skadelig programvare i vedlegg. Og effektiviteten deres er ganske høy, siden brukere, mens de mottar fullstendig lovlige nyhetsutsendelser om koronavirus, ikke alltid kan gjenkjenne noe ondsinnet i volumet deres. Og mens antallet smittede bare vokser, vil utvalget av slike trusler også bare vokse.
For eksempel, dette er hvordan et eksempel på en phishing-e-post på vegne av CDC ser ut:
Å følge lenken fører selvfølgelig ikke til CDC-nettstedet, men til en falsk side som stjeler offerets login og passord:
Her er et eksempel på en phishing-e-post angivelig på vegne av Verdens helseorganisasjon:
Og i dette eksempelet regner angriperne med det faktum at mange mennesker tror at myndighetene skjuler den sanne omfanget av infeksjonen for dem, og derfor klikker brukere lykkelig og nesten uten å nøle på denne typen brev med ondsinnede lenker eller vedlegg som skal visstnok avsløre alle hemmelighetene.
Forresten, det finnes en slik side , som lar deg spore ulike indikatorer, for eksempel dødelighet, antall røykere, befolkning i forskjellige land, etc. Nettstedet har også en side dedikert til koronaviruset. Og så da jeg gikk til den 16. mars, så jeg en side som et øyeblikk fikk meg til å tvile på at myndighetene fortalte oss sannheten (jeg vet ikke hva årsaken til disse tallene er, kanskje bare en feil):
En av de populære infrastrukturene som angripere bruker for å sende lignende e-poster er Emotet, en av de farligste og mest populære truslene i nyere tid. Word-dokumenter vedlagt e-postmeldinger inneholder Emotet-nedlastere, som laster nye ondsinnede moduler inn på offerets datamaskin. Emotet ble opprinnelig brukt til å fremme lenker til uredelige nettsteder som selger medisinske masker, rettet mot innbyggere i Japan. Nedenfor ser du resultatet av å analysere en ondsinnet fil ved hjelp av sandboxing , som analyserer filer for ondsinnethet.
Men angripere utnytter ikke bare muligheten til å starte i MS Word, men også i andre Microsoft-applikasjoner, for eksempel i MS Excel (dette er hvordan hackergruppen APT36 opptrådte), og sender ut anbefalinger om bekjempelse av koronavirus fra Indias regjering som inneholder Crimson ROTTE:
En annen ondsinnet kampanje som utnytter koronavirus-temaet er Nanocore RAT, som lar deg installere programmer på ofrets datamaskiner for ekstern tilgang, avskjære tastaturtrykk, ta skjermbilder, få tilgang til filer osv.
Og Nanocore RAT leveres vanligvis på e-post. Nedenfor ser du for eksempel et eksempel på en e-postmelding med et vedlagt ZIP-arkiv som inneholder en kjørbar PIF-fil. Ved å klikke på den kjørbare filen, installerer offeret et fjerntilgangsprogram (Remote Access Tool, RAT) på datamaskinen sin.
Og her er et annet eksempel på en kampanjeparasitt om temaet COVID-19. Brukeren mottar et brev om en antatt leveringsforsinkelse på grunn av koronavirus med vedlagt faktura med utvidelsen .pdf.ace. Inne i det komprimerte arkivet er kjørbart innhold som etablerer en forbindelse til kommando- og kontrollserveren for å motta ytterligere kommandoer og utføre andre angripermål.
Parallax RAT har lignende funksjonalitet, som distribuerer en fil som heter "new infected CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif" og som installerer et ondsinnet program som samhandler med kommandoserveren via DNS-protokollen. EDR klasse beskyttelsesverktøy, et eksempel på dette er , og enten NGFW vil hjelpe til med å overvåke kommunikasjon med kommandoservere (f.eks. ), eller DNS-overvåkingsverktøy (f.eks. ).
I eksemplet nedenfor ble malware installert med ekstern tilgang på datamaskinen til et offer som av en eller annen ukjent grunn kjøpte seg inn i reklame for at et vanlig antivirusprogram installert på en PC kunne beskytte mot ekte COVID-19. Og tross alt falt noen for en slik tilsynelatende spøk.
Men blant malware er det også noen virkelig merkelige ting. For eksempel spøkefiler som emulerer arbeidet med løsepengevare. I ett tilfelle, vår Cisco Talos-avdeling en fil kalt CoronaVirus.exe, som blokkerte skjermen under kjøring og startet en tidtaker og meldingen "sletter alle filer og mapper på denne datamaskinen - coronavirus."
Etter fullført nedtelling ble knappen nederst aktiv og når den ble trykket, ble følgende melding vist som sa at dette var en spøk og at du burde trykke Alt+F12 for å avslutte programmet.
Kampen mot ondsinnede utsendelser kan automatiseres, for eksempel ved hjelp av , som lar deg oppdage ikke bare skadelig innhold i vedlegg, men også spore phishing-koblinger og klikk på dem. Men selv i dette tilfellet bør du ikke glemme å trene brukere og regelmessig gjennomføre phishing-simuleringer og cyberøvelser, som vil forberede brukerne på ulike triks av angripere rettet mot brukerne dine. Spesielt hvis de jobber eksternt og via deres personlige e-post, kan skadelig kode trenge inn i bedrifts- eller avdelingsnettverket. Her kan jeg anbefale en ny løsning , som ikke bare gjør det mulig å gjennomføre mikro- og nanoopplæring av personell i informasjonssikkerhetsspørsmål, men også å organisere phishing-simuleringer for dem.
Men hvis du av en eller annen grunn ikke er klar til å bruke slike løsninger, er det i det minste verdt å organisere regelmessige utsendelser til de ansatte med en påminnelse om phishing-faren, dens eksempler og en liste over regler for sikker oppførsel (hovedsaken er at angripere forkle seg ikke som dem ). Forresten, en av de mulige risikoene for øyeblikket er phishing-utsendelser som maskerer seg som brev fra ledelsen din, som angivelig snakker om nye regler og prosedyrer for eksternt arbeid, obligatorisk programvare som må installeres på eksterne datamaskiner, etc. Og ikke glem at i tillegg til e-post, kan nettkriminelle bruke direktemeldinger og sosiale nettverk.
I denne typen e-post- eller bevisstgjøringsprogram kan du også inkludere det allerede klassiske eksemplet på et falskt koronavirusinfeksjonskart, som var likt det. Johns Hopkins University. Forskjell var at ved tilgang til et phishing-nettsted ble skadelig programvare installert på brukerens datamaskin, som stjal brukerkontoinformasjon og sendte den til nettkriminelle. En versjon av et slikt program opprettet også RDP-forbindelser for ekstern tilgang til offerets datamaskin.
Forresten, om RDP. Dette er en annen angrepsvektor som angripere begynner å bruke mer aktivt under koronaviruspandemien. Mange bedrifter, når de bytter til eksternt arbeid, bruker tjenester som RDP, som, hvis de konfigureres feil på grunn av hastverk, kan føre til at angripere infiltrerer både eksterne brukerdatamaskiner og inne i bedriftens infrastruktur. Dessuten, selv med riktig konfigurasjon, kan ulike RDP-implementeringer ha sårbarheter som kan utnyttes av angripere. For eksempel Cisco Talos flere sårbarheter i FreeRDP, og i mai i fjor ble en kritisk sårbarhet CVE-2019-0708 oppdaget i Microsoft Remote Desktop-tjenesten, som gjorde det mulig å kjøre vilkårlig kode på offerets datamaskin, introdusere skadelig programvare osv. Et nyhetsbrev om henne ble til og med delt ut , og for eksempel Cisco Talos anbefalinger for beskyttelse mot det.
Det er et annet eksempel på utnyttelsen av koronavirus-temaet - den reelle trusselen om infeksjon av offerets familie hvis de nekter å betale løsepenger i bitcoins. For å forsterke effekten, gi brevet betydning og skape en følelse av allmakt hos utpresseren, ble offerets passord fra en av kontoene hans, hentet fra offentlige databaser med pålogginger og passord, satt inn i brevteksten.
I et av eksemplene ovenfor viste jeg en phishing-melding fra Verdens helseorganisasjon. Og her er et annet eksempel der brukere blir bedt om økonomisk hjelp for å bekjempe COVID-19 (selv om ordet "DONASJON" er umiddelbart merkbart i overskriften i selve brevet). Og de ber om hjelp i bitcoins for å beskytte seg mot sporing av kryptovaluta.
Og i dag er det mange slike eksempler som utnytter brukernes medfølelse:
Bitcoins er relatert til COVID-19 på en annen måte. Slik ser for eksempel utsendelsene som mottas av mange britiske statsborgere som sitter hjemme og ikke kan tjene penger ut (i Russland vil dette også bli aktuelt).
Disse e-postene, som maskerer seg som kjente aviser og nyhetssider, tilbyr enkle penger ved å utvinne kryptovalutaer på spesielle nettsteder. Faktisk, etter en stund får du en melding om at beløpet du har tjent kan trekkes ut til en spesiell konto, men du må overføre en liten mengde skatt før det. Det er klart at etter å ha mottatt disse pengene, overfører ikke svindlerne noe i retur, og den godtroende brukeren mister de overførte pengene.
Det er en annen trussel knyttet til Verdens helseorganisasjon. Hackere hacket DNS-innstillingene til D-Link- og Linksys-rutere, ofte brukt av hjemmebrukere og små bedrifter, for å omdirigere dem til et falskt nettsted med en popup-advarsel om behovet for å installere WHO-appen, som vil beholde dem oppdatert med siste nytt om koronaviruset. Dessuten inneholdt selve applikasjonen det ondsinnede programmet Oski, som stjeler informasjon.
En lignende idé med en applikasjon som inneholder gjeldende status for COVID-19-infeksjon utnyttes av Android Trojan CovidLock, som distribueres gjennom en applikasjon som visstnok er "sertifisert" av det amerikanske utdanningsdepartementet, WHO og Center for Epidemic Control ( CDC).
Mange brukere i dag er i selvisolasjon og, uvillige eller ute av stand til å lage mat, bruker de aktivt leveringstjenester for mat, dagligvarer eller andre varer, som toalettpapir. Angripere har også mestret denne vektoren for sine egne formål. Dette er for eksempel hvordan et ondsinnet nettsted ser ut, som ligner på en legitim ressurs som eies av Canada Post. Lenken fra SMS-en offeret mottok fører til en nettside som melder at det bestilte produktet ikke kan leveres fordi det mangler kun 3 dollar, som må betales ekstra. I dette tilfellet ledes brukeren til en side der han må angi detaljene for kredittkortet sitt... med alle de påfølgende konsekvenser.
Avslutningsvis vil jeg gi ytterligere to eksempler på cybertrusler knyttet til COVID-19. For eksempel er pluginene "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" eller "Covid-19" innebygd i nettsteder som bruker den populære WordPress-motoren og viser sammen med et kart over spredningen av coronavirus, inneholder også WP-VCD malware. Og selskapet Zoom, som i kjølvannet av veksten i antall online-arrangementer ble veldig, veldig populært, ble møtt med det ekspertene kalte "Zoombombing." Angriperne, men faktisk vanlige porno-troll, koblet seg til nettchatter og nettmøter og viste ulike obskøne videoer. Forresten, en lignende trussel møter russiske selskaper i dag.
Jeg tror de fleste av oss regelmessig sjekker ulike ressurser, både offisielle og ikke så offisielle, om den nåværende statusen til pandemien. Angripere utnytter dette emnet, og tilbyr oss den «nyeste» informasjonen om koronaviruset, inkludert informasjon «som myndighetene skjuler for deg». Men selv vanlige vanlige brukere har i det siste ofte hjulpet angripere ved å sende koder med verifiserte fakta fra «bekjente» og «venner». Psykologer sier at slik aktivitet av "alarmistiske" brukere som sender ut alt som kommer inn i deres synsfelt (spesielt i sosiale nettverk og direktemeldinger, som ikke har beskyttelsesmekanismer mot slike trusler), lar dem føle seg involvert i kampen mot en global trussel og føles til og med som helter som redder verden fra koronaviruset. Men dessverre fører mangelen på spesialkunnskap til at disse gode intensjonene «fører alle til helvete», skaper nye trusler om nettsikkerhet og utvider antallet ofre.
Faktisk kunne jeg fortsette med eksempler på cybertrusler relatert til koronavirus; Dessuten står ikke nettkriminelle stille og kommer opp med flere og flere nye måter å utnytte menneskelige lidenskaper på. Men jeg tror vi kan stoppe der. Bildet er allerede klart og det forteller oss at i nær fremtid vil situasjonen bare bli verre. I går plasserte Moskva-myndighetene byen med ti millioner mennesker under selvisolasjon. Myndighetene i Moskva-regionen og mange andre regioner i Russland, så vel som våre nærmeste naboer i det tidligere post-sovjetiske rommet, gjorde det samme. Dette betyr at antallet potensielle ofre målrettet av nettkriminelle vil øke mange ganger. Derfor er det verdt å ikke bare revurdere sikkerhetsstrategien din, som inntil nylig var fokusert på å beskytte bare et bedrifts- eller avdelingsnettverk, og vurdere hvilke beskyttelsesverktøy du mangler, men også å ta hensyn til eksemplene gitt i ditt personellbevisstgjøringsprogram, som er bli en viktig del av informasjonssikkerhetssystemet for fjernarbeidere. EN klar til å hjelpe deg med dette!
PS. Ved utarbeidelsen av dette materialet ble materialer fra Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security og RiskIQ-selskaper, US Department of Justice, Bleeping Computer Resources, SecurityAffairs, etc. brukt. P.
Kilde: www.habr.com