O tema do coronavírus hoje preenche todos os feeds de notícias e também se tornou o principal fio condutor para diversas atividades de invasores que exploram o tema do COVID-19 e tudo relacionado a ele. Nesta nota, gostaria de chamar a atenção para alguns exemplos dessas atividades maliciosas, que, claro, não são segredo para muitos especialistas em segurança da informação, mas cujo resumo em uma nota facilitará a preparação de sua própria conscientização -realização de eventos para funcionários, alguns dos quais trabalham remotamente e outros mais suscetíveis a diversas ameaças à segurança da informação do que antes.
Um minuto de cuidado de um OVNI
O mundo declarou oficialmente uma pandemia de COVID-19, uma infecção respiratória aguda potencialmente grave causada pelo coronavírus SARS-CoV-2 (2019-nCoV). Há muita informação sobre Habré sobre este assunto - lembre-se sempre que pode ser confiável/útil e vice-versa.
Nós encorajamos você a criticar qualquer informação publicada.
Fontes oficiais
- Sites e grupos oficiais das sedes operacionais nas regiões
Se você não mora na Rússia, consulte sites semelhantes em seu país.
Lave as mãos, cuide dos seus entes queridos, fique em casa se possível e trabalhe remotamente.Leia publicações sobre: |
Deve-se notar que não existem ameaças completamente novas associadas ao coronavírus hoje. Em vez disso, estamos falando de vetores de ataque que já se tornaram tradicionais, simplesmente usados em um novo “molho”. Então, eu chamaria os principais tipos de ameaças:
- sites de phishing e boletins informativos relacionados ao coronavírus e códigos maliciosos relacionados
- Fraude e desinformação destinadas a explorar o medo ou informações incompletas sobre a COVID-19
- ataques contra organizações envolvidas na pesquisa do coronavírus
Na Rússia, onde os cidadãos tradicionalmente não confiam nas autoridades e acreditam que estas lhes estão a esconder a verdade, a probabilidade de “promover” com sucesso sites de phishing e listas de correio, bem como recursos fraudulentos, é muito maior do que em países com mais abertura autoridades. Embora hoje ninguém possa se considerar absolutamente protegido contra fraudadores cibernéticos criativos que usam todas as fraquezas humanas clássicas de uma pessoa - medo, compaixão, ganância, etc.
Tomemos, por exemplo, um site fraudulento que vende máscaras médicas.
Um site semelhante, CoronavirusMedicalkit[.]com, foi fechado pelas autoridades dos EUA por distribuir gratuitamente uma vacina COVID-19 inexistente, com “apenas” postagem para enviar o medicamento. Nesse caso, com preço tão baixo, o cálculo foi pela demanda precipitada pelo remédio em condições de pânico nos Estados Unidos.
Esta não é uma ameaça cibernética clássica, uma vez que a tarefa dos atacantes neste caso não é infectar os utilizadores ou roubar os seus dados pessoais ou informações de identificação, mas simplesmente forçá-los a desembolsar e comprar máscaras médicas a preços inflacionados. em 5-10-30 vezes superior ao custo real. Mas a própria ideia de criar um site falso explorando o tema coronavírus também está sendo utilizada por cibercriminosos. Por exemplo, aqui está um site cujo nome contém a palavra-chave “covid19”, mas que também é um site de phishing.
Em geral, o acompanhamento diário do nosso serviço de investigação de incidentes , você vê quantos domínios estão sendo criados cujos nomes contêm as palavras covid, covid19, coronavírus, etc. E muitos deles são maliciosos.
Num ambiente onde alguns dos colaboradores da empresa são transferidos para trabalhar a partir de casa e não estão protegidos por medidas de segurança corporativa, é mais importante do que nunca monitorizar os recursos que são acedidos a partir dos dispositivos móveis e desktop dos colaboradores, conscientemente ou sem o seu conhecimento. conhecimento. Se você não estiver usando o serviço para detectar e bloquear tais domínios (e Cisco a ligação a este serviço é agora gratuita), então configure pelo menos as suas soluções de monitorização de acesso à Web para monitorizar domínios com palavras-chave relevantes. Ao mesmo tempo, lembre-se de que a abordagem tradicional de colocar domínios na lista negra, bem como o uso de bancos de dados de reputação, pode falhar, uma vez que domínios maliciosos são criados muito rapidamente e são usados em apenas 1 ou 2 ataques por não mais do que algumas horas - então o os invasores mudam para novos domínios efêmeros. As empresas de segurança da informação simplesmente não têm tempo para atualizar rapidamente as suas bases de conhecimento e distribuí-las a todos os seus clientes.
Os invasores continuam a explorar ativamente o canal de e-mail para distribuir links de phishing e malware em anexos. E a sua eficácia é bastante elevada, uma vez que os utilizadores, embora recebam correspondências de notícias completamente legais sobre o coronavírus, nem sempre conseguem reconhecer algo malicioso no seu volume. E embora o número de pessoas infectadas só esteja a crescer, a gama de tais ameaças também só aumentará.
Por exemplo, esta é a aparência de um e-mail de phishing em nome do CDC:
Seguir o link, claro, não leva ao site do CDC, mas sim a uma página falsa que rouba login e senha da vítima:
Aqui está um exemplo de e-mail de phishing supostamente em nome da Organização Mundial da Saúde:
E neste exemplo, os invasores contam com o fato de que muitas pessoas acreditam que as autoridades estão escondendo deles a verdadeira escala da infecção e, portanto, os usuários clicam alegremente e quase sem hesitação nesses tipos de cartas com links maliciosos ou anexos que supostamente irá revelar todos os segredos.
A propósito, existe um site assim , que permite acompanhar vários indicadores, por exemplo, mortalidade, número de fumantes, população em diferentes países, etc. O site também possui uma página dedicada ao coronavírus. E então quando fui lá no dia 16 de março, vi uma página que por um momento me fez duvidar que as autoridades estivessem nos dizendo a verdade (não sei qual é a razão desses números, talvez apenas um erro):
Uma das infraestruturas populares que os invasores usam para enviar e-mails semelhantes é o Emotet, uma das ameaças mais perigosas e populares dos últimos tempos. Documentos Word anexados a mensagens de e-mail contêm downloaders Emotet, que carregam novos módulos maliciosos no computador da vítima. O Emotet foi inicialmente usado para promover links para sites fraudulentos que vendiam máscaras médicas, visando residentes do Japão. Abaixo você vê o resultado da análise de um arquivo malicioso usando sandboxing , que analisa arquivos em busca de maldade.
Mas os invasores exploram não apenas a capacidade de lançar no MS Word, mas também em outros aplicativos da Microsoft, por exemplo, no MS Excel (foi assim que agiu o grupo de hackers APT36), enviando recomendações sobre o combate ao coronavírus do governo da Índia contendo Crimson RATO:
Outra campanha maliciosa que explora o tema do coronavírus é o Nanocore RAT, que permite instalar programas nos computadores das vítimas para acesso remoto, interceptar toques no teclado, capturar imagens da tela, acessar arquivos, etc.
E o Nanocore RAT geralmente é entregue por e-mail. Por exemplo, abaixo você vê um exemplo de mensagem de e-mail com um arquivo ZIP anexado que contém um arquivo PIF executável. Ao clicar no arquivo executável, a vítima instala um programa de acesso remoto (Remote Access Tool, RAT) em seu computador.
Aqui está outro exemplo de campanha parasita sobre o tema COVID-19. O usuário recebe uma carta sobre um suposto atraso na entrega devido ao coronavírus com uma fatura anexa com a extensão .pdf.ace. Dentro do arquivo compactado está o conteúdo executável que estabelece uma conexão com o servidor de comando e controle para receber comandos adicionais e realizar outros objetivos do invasor.
O Parallax RAT possui funcionalidade semelhante, que distribui um arquivo denominado “novo infectado CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif” e que instala um programa malicioso que interage com seu servidor de comando por meio do protocolo DNS. Ferramentas de proteção da classe EDR, um exemplo disso é , e o NGFW ajudará a monitorar as comunicações com servidores de comando (por exemplo, ) ou ferramentas de monitoramento de DNS (por exemplo, ).
No exemplo abaixo, um malware de acesso remoto foi instalado no computador de uma vítima que, por algum motivo desconhecido, comprou publicidade de que um programa antivírus comum instalado em um PC poderia proteger contra o COVID-19 real. E afinal, alguém caiu nessa aparentemente piada.
Mas entre os malwares também existem algumas coisas realmente estranhas. Por exemplo, arquivos de piadas que emulam o trabalho do ransomware. Em um caso, nossa divisão Cisco Talos um arquivo chamado CoronaVirus.exe, que bloqueava a tela durante a execução e iniciava um cronômetro e a mensagem “excluindo todos os arquivos e pastas deste computador – coronavírus”.
Ao final da contagem regressiva, o botão inferior ficou ativo e ao ser pressionado, a seguinte mensagem foi exibida, dizendo que tudo isso era uma brincadeira e que você deveria pressionar Alt+F12 para encerrar o programa.
A luta contra correspondências maliciosas pode ser automatizada, por exemplo, usando , que permite detectar não apenas conteúdo malicioso em anexos, mas também rastrear links de phishing e cliques neles. Mas mesmo neste caso, você não deve se esquecer de treinar os usuários e de realizar regularmente simulações de phishing e exercícios cibernéticos, que irão preparar os usuários para vários truques de invasores dirigidos contra seus usuários. Especialmente se trabalharem remotamente e através do seu e-mail pessoal, códigos maliciosos podem penetrar na rede corporativa ou departamental. Aqui eu poderia recomendar uma nova solução , que permite não só realizar micro e nanotreinamento de pessoal em questões de segurança da informação, mas também organizar simulações de phishing para eles.
Mas se por algum motivo você não estiver pronto para usar tais soluções, vale a pena pelo menos organizar correspondências regulares para seus funcionários com um lembrete do perigo de phishing, seus exemplos e uma lista de regras para comportamento seguro (o principal é que os invasores não se disfarçam como eles). A propósito, um dos possíveis riscos no momento são as correspondências de phishing disfarçadas de cartas de sua administração, que supostamente falam sobre novas regras e procedimentos para trabalho remoto, software obrigatório que deve ser instalado em computadores remotos, etc. E não se esqueça que além do e-mail, os cibercriminosos podem usar mensageiros instantâneos e redes sociais.
Nesse tipo de mailing ou programa de conscientização, você também pode incluir o já clássico exemplo de um mapa falso de infecção por coronavírus, que era semelhante ao que Universidade Johns Hopkins. Diferença foi que ao acessar um site de phishing, um malware foi instalado no computador do usuário, que roubou informações da conta do usuário e as enviou aos cibercriminosos. Uma versão desse programa também criava conexões RDP para acesso remoto ao computador da vítima.
A propósito, sobre o RDP. Este é outro vetor de ataque que os invasores estão começando a usar mais ativamente durante a pandemia do coronavírus. Muitas empresas, ao mudarem para o trabalho remoto, utilizam serviços como o RDP, que, se configurados incorretamente devido à pressa, podem fazer com que invasores se infiltrem tanto nos computadores dos usuários remotos quanto na infraestrutura corporativa. Além disso, mesmo com a configuração correta, várias implementações de RDP podem apresentar vulnerabilidades que podem ser exploradas por invasores. Por exemplo, Cisco Talos múltiplas vulnerabilidades no FreeRDP e, em maio do ano passado, uma vulnerabilidade crítica CVE-2019-0708 foi descoberta no serviço Microsoft Remote Desktop, que permitia a execução de código arbitrário no computador da vítima, a introdução de malware, etc. Um boletim informativo sobre ela foi até distribuído e, por exemplo, Cisco Talos recomendações para proteção contra ele.
Há outro exemplo de exploração do tema coronavírus – a ameaça real de infecção da família da vítima caso esta se recuse a pagar o resgate em bitcoins. Para potencializar o efeito, para dar significado à carta e criar uma sensação de onipotência do extorsionário, foi inserida no texto da carta a senha da vítima de uma de suas contas, obtida em bancos de dados públicos de logins e senhas.
Em um dos exemplos acima, mostrei uma mensagem de phishing da Organização Mundial da Saúde. Aqui está outro exemplo em que os usuários são solicitados a obter ajuda financeira para combater o COVID-19 (embora no cabeçalho do corpo da carta a palavra “DOAÇÃO” seja imediatamente perceptível) e pedem ajuda em bitcoins para se protegerem contra criptomoedas. monitorando.
E hoje existem muitos exemplos que exploram a compaixão dos usuários:
Os Bitcoins estão relacionados ao COVID-19 de outra maneira. Por exemplo, é assim que se parecem as correspondências recebidas por muitos cidadãos britânicos que estão sentados em casa e não podem ganhar dinheiro (na Rússia agora isso também se tornará relevante).
Disfarçados de jornais e sites de notícias conhecidos, essas correspondências oferecem dinheiro fácil através da mineração de criptomoedas em sites especiais. Na verdade, depois de algum tempo, você recebe uma mensagem informando que o valor que ganhou pode ser sacado para uma conta especial, mas antes disso é necessário transferir uma pequena quantia de impostos. É claro que depois de receber esse dinheiro, os golpistas não transferem nada em troca e o usuário crédulo perde o dinheiro transferido.
Há outra ameaça associada à Organização Mundial da Saúde. Hackers hackearam as configurações de DNS dos roteadores D-Link e Linksys, frequentemente usados por usuários domésticos e pequenas empresas, para redirecioná-los para um site falso com um aviso pop-up sobre a necessidade de instalar o aplicativo da OMS, que os manterá atualizado com as últimas notícias sobre o coronavírus. Além disso, o próprio aplicativo continha o programa malicioso Oski, que rouba informações.
Uma ideia semelhante com um aplicativo contendo o status atual da infecção por COVID-19 é explorada pelo Trojan Android CovidLock, que é distribuído por meio de um aplicativo supostamente “certificado” pelo Departamento de Educação dos EUA, pela OMS e pelo Centro de Controle de Epidemias ( CDC).
Muitos utilizadores estão hoje em auto-isolamento e, não querendo ou não podendo cozinhar, utilizam ativamente serviços de entrega de alimentos, mercearias ou outros bens, como papel higiénico. Os invasores também dominaram esse vetor para seus próprios propósitos. Por exemplo, é assim que se parece um site malicioso, semelhante a um recurso legítimo de propriedade do Canada Post. O link do SMS recebido pela vítima leva a um site que informa que o produto encomendado não pode ser entregue porque faltam apenas US$ 3, que devem ser pagos a mais. Neste caso, o utilizador é encaminhado para uma página onde deverá indicar os dados do seu cartão de crédito... com todas as consequências que daí advêm.
Para concluir, gostaria de dar mais dois exemplos de ameaças cibernéticas relacionadas com a COVID-19. Por exemplo, os plug-ins “COVID-19 Coronavirus - Live Map WordPress Plugin”, “Coronavirus Spread Prediction Graphs” ou “Covid-19” são integrados em sites usando o popular mecanismo WordPress e, juntamente com a exibição de um mapa da propagação do coronavírus, também contém o malware WP-VCD. E a empresa Zoom, que se tornou muito, muito popular na esteira do crescimento do número de eventos online, se deparou com o que os especialistas chamam de “Zoombombing”. Os invasores, mas na verdade trolls pornográficos comuns, conectaram-se a bate-papos e reuniões online e mostraram vários vídeos obscenos. A propósito, uma ameaça semelhante é enfrentada hoje pelas empresas russas.
Acho que a maioria de nós verifica regularmente vários recursos, oficiais e não tão oficiais, sobre a situação atual da pandemia. Os invasores estão explorando este tópico, oferecendo-nos as informações “mais recentes” sobre o coronavírus, incluindo informações “que as autoridades estão escondendo de você”. Mas até mesmo usuários comuns ajudaram recentemente os invasores, enviando códigos de fatos verificados de “conhecidos” e “amigos”. Os psicólogos afirmam que esta actividade dos utilizadores “alarmistas” que enviam tudo o que entra no seu campo de visão (especialmente nas redes sociais e nos mensageiros instantâneos, que não possuem mecanismos de protecção contra tais ameaças), permite-lhes sentirem-se envolvidos na luta contra uma ameaça global e até se sentem como heróis salvando o mundo do coronavírus. Mas, infelizmente, a falta de conhecimentos especiais leva ao facto de estas boas intenções “levar todos para o inferno”, criando novas ameaças à cibersegurança e aumentando o número de vítimas.
Na verdade, poderia continuar com exemplos de ameaças cibernéticas relacionadas com o coronavírus; Além disso, os cibercriminosos não ficam parados e criam cada vez mais novas formas de explorar as paixões humanas. Mas acho que podemos parar por aí. O quadro já é claro e diz-nos que num futuro próximo a situação só irá piorar. Ontem, as autoridades de Moscovo colocaram a cidade de dez milhões de habitantes em auto-isolamento. As autoridades da região de Moscovo e de muitas outras regiões da Rússia, bem como os nossos vizinhos mais próximos no antigo espaço pós-soviético, fizeram o mesmo. Isto significa que o número de potenciais vítimas visadas pelos cibercriminosos aumentará muitas vezes. Portanto, vale a pena não apenas reconsiderar sua estratégia de segurança, que até recentemente se concentrava em proteger apenas uma rede corporativa ou departamental, e avaliar quais ferramentas de proteção lhe faltam, mas também levar em consideração os exemplos dados em seu programa de conscientização de pessoal, que é tornando-se uma parte importante do sistema de segurança da informação para trabalhadores remotos. A pronto para te ajudar com isso!
PS. Na preparação deste material, foram utilizados materiais das empresas Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security e RiskIQ, Departamento de Justiça dos EUA, Bleeping Computer Resources, SecurityAffairs, etc.
Fonte: habr.com