Temat koronawirusa wypełnił dziś wszystkie serwisy informacyjne, a także stał się głównym motywem przewodnim różnorodnych działań napastników wykorzystujących temat COVID-19 i wszystkiego, co z nim związane. W tej notatce chciałbym zwrócić uwagę na kilka przykładów tego rodzaju szkodliwego działania, co oczywiście nie jest tajemnicą dla wielu specjalistów ds. bezpieczeństwa informacji, ale ich podsumowanie w jednej notatce ułatwi przygotowanie własnej świadomości -organizowanie wydarzeń dla pracowników, z których część pracuje zdalnie, a inni są bardziej niż dotychczas podatni na różne zagrożenia bezpieczeństwa informacji.
Minuta opieki UFO
Świat oficjalnie ogłosił pandemię Covid-19, potencjalnie ciężkiej ostrej infekcji dróg oddechowych wywołanej przez koronaawirusa SARS-CoV-2 (2019-nCoV). Istnieje wiele informacji na ten temat na temat Habré - zawsze pamiętaj, że mogą one być zarówno wiarygodne/przydatne, jak i odwrotnie.
Zachęcamy do krytycznego podejścia do wszelkich publikowanych informacji.
Źródła oficjalne
- Strony internetowe i oficjalne grupy central operacyjnych w regionach
Jeśli nie mieszkasz w Rosji, skorzystaj z podobnych witryn w swoim kraju.
Myjcie ręce, dbajcie o swoich bliskich, jeśli to możliwe, zostańcie w domu i pracujcie zdalnie.Przeczytaj publikacje na temat: |
Należy zaznaczyć, że obecnie nie ma zupełnie nowych zagrożeń związanych z koronawirusem. Mówimy raczej o wektorach ataku, które stały się już tradycyjne, po prostu użyte w nowym „sosie”. Kluczowe rodzaje zagrożeń nazwałbym więc:
- witryny i biuletyny phishingowe związane z koronawirusem i powiązanym złośliwym kodem
- Oszustwa i dezinformacja mające na celu wykorzystanie strachu lub niekompletnych informacji na temat Covid-19
- ataki na organizacje zajmujące się badaniami nad koronawirusem
W Rosji, gdzie obywatele tradycyjnie nie ufają władzom i wierzą, że ukrywają przed nimi prawdę, prawdopodobieństwo skutecznego „promowania” witryn phishingowych i list mailingowych, a także fałszywych zasobów jest znacznie wyższe niż w krajach o bardziej otwartym władze. Chociaż dziś nikt nie może uważać się za całkowicie chronionego przed kreatywnymi cyberoszustami, którzy wykorzystują wszystkie klasyczne ludzkie słabości człowieka - strach, współczucie, chciwość itp.
Weźmy na przykład fałszywą witrynę sprzedającą maski medyczne.
Podobna witryna, CrownMedicalkit[.]com, została zamknięta przez władze USA za bezpłatną dystrybucję nieistniejącej szczepionki na Covid-19, za którą należy zapłacić „tylko” przesyłką pocztową w celu wysyłki leku. W tym przypadku, przy tak niskiej cenie, kalkulacją było pośpieszne zapotrzebowanie na lek w warunkach paniki w Stanach Zjednoczonych.
Nie jest to klasyczne cyberzagrożenie, ponieważ zadaniem atakujących w tym przypadku nie jest infekowanie użytkowników ani kradzież ich danych osobowych czy informacji identyfikacyjnych, ale po prostu na fali strachu zmuszenie ich do rozdania się i zakupu masek medycznych po zawyżonych cenach o 5-10-30-krotność kosztów rzeczywistych. Jednak sam pomysł stworzenia fałszywej strony internetowej wykorzystującej motyw koronaawirusa jest również wykorzystywany przez cyberprzestępców. Oto na przykład witryna, której nazwa zawiera słowo kluczowe „covid19”, ale która jest również witryną phishingową.
Ogólnie rzecz biorąc, codzienne monitorowanie naszej usługi badania incydentów , widzisz ile powstaje domen, których nazwy zawierają słowa covid, covid19, koronawirus itp. A wiele z nich jest złośliwych.
W środowisku, w którym część pracowników firmy jest przenoszona do pracy zdalnej i nie są oni chronieni korporacyjnymi środkami bezpieczeństwa, ważniejsze niż kiedykolwiek jest monitorowanie zasobów, do których uzyskują dostęp pracownicy na urządzeniach mobilnych i stacjonarnych, świadomie lub bez ich wiedzy. wiedza. Jeśli nie korzystasz z usługi do wykrywania i blokowania takich domen (i Cisco połączenie z tą usługą jest teraz bezpłatne), a następnie skonfiguruj swoje rozwiązania do monitorowania dostępu do sieci przynajmniej tak, aby monitorować domeny z odpowiednimi słowami kluczowymi. Jednocześnie pamiętaj, że tradycyjne podejście do umieszczania domen na czarnej liście, a także wykorzystywania baz reputacji, może zawieść, gdyż szkodliwe domeny powstają bardzo szybko i są wykorzystywane jedynie w 1-2 atakach trwających nie dłużej niż kilka godzin – wówczas napastnicy przełączają się na nowe domeny efemeryczne. Firmy zajmujące się bezpieczeństwem informacji po prostu nie mają czasu na szybką aktualizację swoich baz wiedzy i rozpowszechnianie ich wśród wszystkich swoich klientów.
Atakujący w dalszym ciągu aktywnie wykorzystują kanał e-mail do dystrybucji łączy phishingowych i złośliwego oprogramowania w załącznikach. A ich skuteczność jest dość wysoka, ponieważ użytkownicy otrzymując całkowicie legalne maile z wiadomościami na temat wirusa, nie zawsze potrafią rozpoznać w ich objętości coś szkodliwego. I choć liczba zarażonych osób tylko rośnie, to i zasięg tego typu zagrożeń będzie tylko rósł.
Na przykład tak wygląda przykładowa wiadomość e-mail phishingowa w imieniu CDC:
Podążanie za linkiem nie prowadzi oczywiście do strony CDC, ale do fałszywej strony, która kradnie login i hasło ofiary:
Oto przykład wiadomości e-mail phishingowej rzekomo wysłanej w imieniu Światowej Organizacji Zdrowia:
I w tym przykładzie napastnicy liczą na to, że wiele osób uważa, że władze ukrywają przed nimi prawdziwą skalę infekcji, w związku z czym użytkownicy chętnie i niemal bez wahania klikają tego typu listy zawierające złośliwe linki lub załączniki, które podobno ujawni wszystkie tajemnice.
Nawiasem mówiąc, istnieje taka strona , co pozwala śledzić różne wskaźniki, na przykład śmiertelność, liczbę palaczy, populację w różnych krajach itp. Na stronie znajduje się także podstrona poświęcona koronawirusowi. I tak kiedy wszedłem na nią 16 marca, zobaczyłem stronę, która przez chwilę wzbudziła we mnie wątpliwości, czy władze mówią nam prawdę (nie wiem, co jest przyczyną tych liczb, może to po prostu pomyłka):
Jedną z popularnych infrastruktur wykorzystywanych przez atakujących do wysyłania podobnych e-maili jest Emotet, jedno z najniebezpieczniejszych i najpopularniejszych zagrożeń ostatniego czasu. Dokumenty programu Word dołączone do wiadomości e-mail zawierają narzędzia pobierania Emotet, które ładują nowe szkodliwe moduły na komputer ofiary. Początkowo Emotet był używany do promowania linków do fałszywych witryn sprzedających maski medyczne, skierowanych do mieszkańców Japonii. Poniżej możesz zobaczyć wynik analizy złośliwego pliku przy użyciu piaskownicy , który analizuje pliki pod kątem złośliwości.
Jednak napastnicy wykorzystują nie tylko możliwość uruchomienia w MS Word, ale także w innych aplikacjach Microsoftu, np. w MS Excel (tak zachowała się grupa hakerów APT36), wysyłając od Rządu Indii zalecenia dotyczące walki z koronawirusem zawierającym Crimson SZCZUR:
Inną złośliwą kampanią wykorzystującą motyw wirusa koronowego jest Nanocore RAT, która umożliwia instalowanie programów na komputerach ofiar w celu uzyskania zdalnego dostępu, przechwytywania uderzeń w klawiaturę, przechwytywania obrazów ekranu, uzyskiwania dostępu do plików itp.
A Nanocore RAT jest zwykle dostarczany e-mailem. Na przykład poniżej widzisz przykładową wiadomość e-mail z załączonym archiwum ZIP zawierającym wykonywalny plik PIF. Klikając plik wykonywalny, ofiara instaluje na swoim komputerze program zdalnego dostępu (Remote Access Tool, RAT).
A oto kolejny przykład pasożytniczej kampanii na temat Covid-19. Użytkownik otrzymuje pismo w sprawie rzekomego opóźnienia dostawy spowodowanego koronawirusem wraz z załączoną fakturą z rozszerzeniem .pdf.ace. Wewnątrz skompresowanego archiwum znajduje się wykonywalna zawartość, która nawiązuje połączenie z serwerem dowodzenia i kontroli w celu otrzymania dodatkowych poleceń i wykonania innych celów atakującego.
Podobną funkcjonalność posiada Parallax RAT, która dystrybuuje plik o nazwie „nowe zainfekowane CORONAVIRUS sky 03.02.2020.pif” i instaluje szkodliwy program, który wchodzi w interakcję z serwerem poleceń za pośrednictwem protokołu DNS. Narzędzia zabezpieczające klasy EDR, których przykładem jest , a NGFW pomoże monitorować komunikację z serwerami dowodzenia (na przykład ) lub narzędzia do monitorowania DNS (na przykład ).
W poniższym przykładzie złośliwe oprogramowanie umożliwiające dostęp zdalny zostało zainstalowane na komputerze ofiary, która z nieznanego powodu uwierzyła w reklamę mówiącą, że zwykły program antywirusowy zainstalowany na komputerze może chronić przed prawdziwym wirusem Covid-19. A przecież ktoś dał się nabrać na taki pozornie żart.
Ale wśród złośliwego oprogramowania jest też kilka naprawdę dziwnych rzeczy. Na przykład pliki żartów, które emulują działanie oprogramowania ransomware. W jednym przypadku nasz oddział Cisco Talos plik o nazwie CoronaVirus.exe, który blokował ekran podczas wykonywania i uruchamiał licznik czasu oraz komunikat „usuwanie wszystkich plików i folderów na tym komputerze - koronawirus”.
Po zakończeniu odliczania przycisk na dole stał się aktywny, a po jego naciśnięciu wyświetlił się komunikat, że to wszystko żart i że należy wcisnąć Alt+F12, aby zakończyć program.
Walkę ze złośliwymi mailingami można zautomatyzować np. za pomocą , która pozwala nie tylko wykrywać złośliwą zawartość w załącznikach, ale także śledzić linki phishingowe i kliknięcia w nie. Ale nawet w tym przypadku nie należy zapominać o przeszkoleniu użytkowników i regularnym przeprowadzaniu symulacji phishingu oraz ćwiczeń cybernetycznych, które przygotują użytkowników na różne sztuczki atakujących wymierzone w Twoich użytkowników. Zwłaszcza jeśli pracują zdalnie i za pośrednictwem osobistej poczty e-mail, złośliwy kod może przedostać się do sieci korporacyjnej lub wydziałowej. Tutaj mogę polecić nowe rozwiązanie , co pozwala nie tylko na prowadzenie mikro- i nanoszkoleń personelu w zakresie zagadnień bezpieczeństwa informacji, ale także organizowanie dla nich symulacji phishingu.
Jeśli jednak z jakiegoś powodu nie jesteś gotowy na korzystanie z takich rozwiązań, warto przynajmniej zorganizować regularne mailingi do swoich pracowników z przypomnieniem o niebezpieczeństwie phishingu, jego przykładami i listą zasad bezpiecznego zachowania (najważniejsze, że napastnicy nie podszywają się pod nich). Nawiasem mówiąc, jednym z możliwych obecnie zagrożeń są mailingi phishingowe podszywające się pod listy od Twojego kierownictwa, które rzekomo mówią o nowych zasadach i procedurach pracy zdalnej, obowiązkowym oprogramowaniu, które należy zainstalować na zdalnych komputerach itp. Nie zapominaj, że oprócz poczty e-mail cyberprzestępcy mogą korzystać z komunikatorów internetowych i sieci społecznościowych.
W tego rodzaju programie mailingowym lub uświadamiającym można zamieścić także klasyczny już przykład fałszywej mapy infekcji koronawirusem, która była podobna do tej Uniwersytet Johna Hopkinsa. Różnica polegało na tym, że podczas uzyskiwania dostępu do strony phishingowej na komputerze użytkownika instalowano złośliwe oprogramowanie, które kradnęło informacje o koncie użytkownika i wysyłało je cyberprzestępcom. Jedna wersja takiego programu tworzyła także połączenia RDP umożliwiające zdalny dostęp do komputera ofiary.
Nawiasem mówiąc, o PROW. To kolejny wektor ataku, z którego napastnicy zaczynają aktywniej korzystać w czasie pandemii koronaawirusa. Wiele firm przechodząc na pracę zdalną korzysta z usług takich jak RDP, które w przypadku nieprawidłowej konfiguracji ze względu na pośpiech mogą spowodować, że atakujący przedostaną się zarówno do komputerów zdalnych użytkowników, jak i do wnętrza infrastruktury korporacyjnej. Co więcej, nawet przy prawidłowej konfiguracji różne implementacje protokołu RDP mogą zawierać luki, które mogą zostać wykorzystane przez osoby atakujące. Na przykład Cisco Talos wiele luk w zabezpieczeniach FreeRDP, a w maju ubiegłego roku w usłudze Microsoft Remote Desktop odkryto krytyczną lukę CVE-2019-0708, która umożliwiała wykonanie dowolnego kodu na komputerze ofiary, wprowadzenie złośliwego oprogramowania itp. Rozesłano nawet biuletyn na jej temat i na przykład Cisco Talos zalecenia dotyczące ochrony przed nim.
Istnieje inny przykład wykorzystania motywu koronaawirusa – realne zagrożenie zarażeniem rodziny ofiary, jeśli odmówi ona zapłacenia okupu w bitcoinach. Aby wzmocnić efekt, nadać listowi znaczenie i stworzyć poczucie wszechmocy szantażysty, w tekście listu umieszczono hasło ofiary do jednego z jego kont, uzyskane z publicznych baz loginów i haseł.
W jednym z powyższych przykładów pokazałem wiadomość phishingową od Światowej Organizacji Zdrowia. A oto kolejny przykład, w którym użytkownicy proszą o pomoc finansową w walce z Covid-19 (choć w nagłówku treści listu od razu rzuca się w oczy słowo „DONACJA”) i proszą o pomoc w bitcoinach w celu ochrony przed śledzenie kryptowalut.
A dzisiaj jest wiele takich przykładów wykorzystania współczucia użytkowników:
Bitcoiny są powiązane z Covid-19 w inny sposób. Tak na przykład wyglądają mailingi otrzymywane przez wielu obywateli Wielkiej Brytanii, którzy siedzą w domu i nie mogą zarabiać (teraz w Rosji stanie się to również istotne).
Podszywające się pod znane gazety i serwisy informacyjne, przesyłki te oferują łatwe pieniądze poprzez wydobywanie kryptowalut na specjalnych stronach. Tak naprawdę po pewnym czasie pojawia się komunikat, że zarobioną kwotę można wypłacić na specjalne konto, jednak wcześniej należy przelać niewielką kwotę podatków. Oczywiste jest, że po otrzymaniu tych pieniędzy oszuści nie przekazują niczego w zamian, a naiwny użytkownik traci przekazane pieniądze.
Ze Światową Organizacją Zdrowia wiąże się jeszcze jedno zagrożenie. Hakerzy włamali się do ustawień DNS routerów D-Link i Linksys, często używanych przez użytkowników domowych i małe firmy, aby przekierować ich na fałszywą stronę internetową z wyskakującym okienkiem ostrzegającym o konieczności zainstalowania aplikacji WHO, która będzie je przechowywać na bieżąco z najświeższymi wiadomościami dotyczącymi korona wirusa. Co więcej, sama aplikacja zawierała szkodliwy program Oski, który kradnie informacje.
Podobny pomysł z aplikacją zawierającą aktualny stan zakażenia COVID-19 wykorzystuje trojan dla Androida CovidLock, który jest dystrybuowany za pośrednictwem aplikacji rzekomo „certyfikowanej” przez Departament Edukacji USA, WHO i Centrum Kontroli Epidemii ( CDC).
Wielu użytkowników przebywa obecnie w izolacji i nie chce lub nie może gotować, aktywnie korzysta z usług dostawy żywności, artykułów spożywczych lub innych towarów, takich jak papier toaletowy. Atakujący również opanowali ten wektor do własnych celów. Na przykład tak wygląda złośliwa witryna internetowa, podobna do legalnego zasobu należącego do Canada Post. Link z SMS-a otrzymanego przez ofiarę prowadzi do strony internetowej, która informuje, że zamówiony produkt nie może zostać dostarczony, ponieważ brakuje tylko 3 dolarów, które należy dopłacić. W takim przypadku użytkownik zostaje przekierowany na stronę, na której musi podać dane swojej karty kredytowej... ze wszystkimi tego konsekwencjami.
Na zakończenie chciałbym podać jeszcze dwa przykłady zagrożeń cybernetycznych związanych z Covid-19. Na przykład wtyczki „COVID-19 Koronawirus - Live Map WordPress Plugin”, „Wykresy przewidywania rozprzestrzeniania się wirusa Coronavirus” lub „Covid-19” są wbudowane w witryny korzystające z popularnego silnika WordPress i wraz z wyświetlaniem mapy rozprzestrzeniania się wirusa koronawirus, zawierają również złośliwe oprogramowanie WP-VCD. A firma Zoom, która w obliczu wzrostu liczby wydarzeń online stała się bardzo, bardzo popularna, stanęła w obliczu tego, co eksperci nazywają „Zoombombingiem”. Napastnicy, a w rzeczywistości zwykłe trolle porno, łączyli się z czatami i spotkaniami online i pokazali różne nieprzyzwoite filmy. Nawiasem mówiąc, z podobnym zagrożeniem borykają się dziś rosyjskie firmy.
Myślę, że większość z nas regularnie sprawdza różne źródła, zarówno oficjalne, jak i mniej oficjalne, na temat aktualnego stanu pandemii. Atakujący wykorzystują ten temat, oferując nam „najnowsze” informacje o koronawirusie, w tym informacje, „które władze przed Tobą ukrywają”. Jednak ostatnio nawet zwykli użytkownicy często pomagali atakującym, wysyłając kody zweryfikowanych faktów od „znajomych” i „przyjaciół”. Psychologowie twierdzą, że taka aktywność użytkowników „alarmistów”, którzy wysyłają wszystko, co pojawi się w ich polu widzenia (zwłaszcza na portalach społecznościowych i komunikatorach internetowych, które nie mają mechanizmów ochronnych przed tego typu zagrożeniami), pozwala im poczuć się zaangażowanymi w walkę z globalne zagrożenie, a nawet poczuć się jak bohaterowie ratujący świat przed koronawirusem. Ale niestety brak specjalistycznej wiedzy powoduje, że te dobre intencje „prowadzą wszystkich do piekła”, tworząc nowe zagrożenia cyberbezpieczeństwa i zwiększając liczbę ofiar.
Właściwie mógłbym dalej wymieniać przykłady cyberzagrożeń związanych z koronawirusem; Co więcej, cyberprzestępcy nie stoją w miejscu i wymyślają coraz to nowe sposoby wykorzystywania ludzkich namiętności. Myślę jednak, że na tym możemy poprzestać. Obraz jest już jasny i mówi nam, że w najbliższej przyszłości sytuacja będzie się tylko pogarszać. Wczoraj władze Moskwy poddały dziesięciomilionowe miasto samoizolacji. To samo zrobiły władze obwodu moskiewskiego i wielu innych regionów Rosji, a także nasi najbliżsi sąsiedzi na byłej przestrzeni poradzieckiej. Oznacza to, że liczba potencjalnych ofiar będących celem cyberprzestępców wielokrotnie wzrośnie. Dlatego warto nie tylko ponownie przemyśleć swoją strategię bezpieczeństwa, która do niedawna skupiała się wyłącznie na ochronie sieci korporacyjnej lub wydziałowej i ocenić, jakich narzędzi ochrony Ci brakuje, ale także wziąć pod uwagę przykłady podane w programie świadomości personelu, który jest staje się ważną częścią systemu bezpieczeństwa informacji dla pracowników zdalnych. A gotowy, aby Ci w tym pomóc!
PS. Przygotowując ten materiał wykorzystano materiały firm Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security i RiskIQ, Departamentu Sprawiedliwości USA, Bleeping Computer Resources, SecurityAffairs itp. P.
Źródło: www.habr.com