Subiectul coronavirusului de astăzi a umplut toate fluxurile de știri și a devenit, de asemenea, principalul laitmotiv pentru diverse activități ale atacatorilor care exploatează subiectul COVID-19 și tot ce are legătură cu acesta. În această notă, aș dori să atrag atenția asupra unor exemple de astfel de activitate rău intenționată, care, desigur, nu este un secret pentru mulți specialiști în securitatea informațiilor, dar rezumatul cărora într-o singură notă va face mai ușor să vă pregătiți propria conștientizare. -organizarea de evenimente pentru angajați, dintre care unii lucrează de la distanță, iar alții mai susceptibili la diferite amenințări la securitatea informațiilor decât înainte.
Un moment de îngrijire de la un OZN
Lumea a declarat oficial o pandemie de COVID-19, o infecție respiratorie acută potențial severă cauzată de coronavirusul SARS-CoV-2 (2019-nCoV). Există o mulțime de informații despre Habré pe această temă - amintiți-vă întotdeauna că poate fi atât de încredere/utilă, cât și invers.
Vă încurajăm să criticați orice informație publicată.
Surse oficiale
- Site-uri web și grupuri oficiale de sedii operaționale din regiuni
Dacă nu locuiți în Rusia, vă rugăm să consultați site-uri similare din țara dvs.
Spală-te pe mâini, ai grijă de cei dragi, stai acasă dacă este posibil și lucrează de la distanță.Citiți publicații despre: |
Trebuie remarcat faptul că astăzi nu există amenințări complet noi asociate cu coronavirusul. Mai degrabă, vorbim despre vectori de atac care au devenit deja tradiționali, pur și simplu folosiți într-un nou „sos”. Deci, aș numi tipurile cheie de amenințări:
- site-uri de phishing și buletine informative legate de coronavirus și coduri malițioase asociate
- Fraudă și dezinformare care vizează exploatarea fricii sau a informațiilor incomplete despre COVID-19
- atacuri împotriva organizațiilor implicate în cercetarea coronavirusului
În Rusia, unde în mod tradițional cetățenii nu au încredere în autorități și cred că le ascund adevărul, probabilitatea de a „promova” cu succes site-urile de phishing și listele de corespondență, precum și resursele frauduloase, este mult mai mare decât în țările cu mai multe deschideri. Autoritățile. Deși astăzi nimeni nu se poate considera absolut protejat de fraudatorii cibernetici creativi care folosesc toate slăbiciunile umane clasice ale unei persoane - frică, compasiune, lăcomie etc.
Luați, de exemplu, un site fraudulos care vinde măști medicale.
Un site similar, CoronavirusMedicalkit[.]com, a fost închis de autoritățile americane pentru că a distribuit gratuit un vaccin COVID-19 inexistent, cu „doar” poștă pentru a expedia medicamentul. În acest caz, cu un preț atât de mic, calculul a fost pentru cererea urgentă pentru medicament în condiții de panică în Statele Unite.
Aceasta nu este o amenințare cibernetică clasică, deoarece sarcina atacatorilor în acest caz nu este de a infecta utilizatorii sau de a le fura datele personale sau informațiile de identificare, ci pur și simplu pe valul de frică pentru a-i forța să dea și să cumpere măști medicale la prețuri umflate. cu depășirea de 5-10-30 ori a costului real. Dar însăși ideea de a crea un site web fals care să exploateze tema coronavirusului este folosită și de infractorii cibernetici. De exemplu, iată un site al cărui nume conține cuvântul cheie „covid19”, dar care este și site de phishing.
În general, monitorizarea zilnică a serviciului nostru de investigare a incidentelor , vezi câte domenii se creează ale căror nume conțin cuvintele covid, covid19, coronavirus etc. Și multe dintre ele sunt răuvoitoare.
Într-un mediu în care unii dintre angajații companiei sunt transferați la serviciu de acasă și nu sunt protejați de măsurile de securitate corporative, este mai important ca niciodată să monitorizăm resursele care sunt accesate de pe dispozitivele mobile și desktop ale angajaților, în cunoștință de cauză sau fără cunoştinţe. Dacă nu utilizați serviciul pentru a detecta și bloca astfel de domenii (și Cisco conectarea la acest serviciu este acum gratuită), apoi configurați cel puțin soluțiile de monitorizare a accesului Web pentru a monitoriza domeniile cu cuvinte cheie relevante. În același timp, amintiți-vă că abordarea tradițională a punerii pe lista neagră a domeniilor, precum și utilizarea bazelor de date de reputație, poate eșua, deoarece domeniile rău intenționate sunt create foarte rapid și sunt utilizate în doar 1-2 atacuri timp de cel mult câteva ore - apoi atacatorii trec la noi domenii efemere. Companiile de securitate a informațiilor pur și simplu nu au timp să-și actualizeze rapid bazele de cunoștințe și să le distribuie tuturor clienților lor.
Atacatorii continuă să exploateze în mod activ canalul de e-mail pentru a distribui link-uri de phishing și programe malware în atașamente. Și eficacitatea lor este destul de mare, deoarece utilizatorii, deși primesc mesaje de știri complet legale despre coronavirus, nu pot recunoaște întotdeauna ceva rău intenționat în volumul lor. Și, în timp ce numărul de persoane infectate este în creștere, și gama de astfel de amenințări va crește.
De exemplu, așa arată un exemplu de e-mail de phishing în numele CDC:
Urmărirea linkului, desigur, nu duce la site-ul CDC, ci la o pagină falsă care fură login-ul și parola victimei:
Iată un exemplu de e-mail de phishing presupus în numele Organizației Mondiale a Sănătății:
Și în acest exemplu, atacatorii se bazează pe faptul că mulți oameni cred că autoritățile le ascund adevărata amploare a infecției și, prin urmare, utilizatorii fac clic cu bucurie și aproape fără ezitare pe aceste tipuri de scrisori cu link-uri sau atașamente rău intenționate care se presupune că va dezvălui toate secretele.
Apropo, există un astfel de site , care vă permite să urmăriți diferiți indicatori, de exemplu, mortalitatea, numărul de fumători, populația din diferite țări etc. Site-ul are și o pagină dedicată coronavirusului. Așa că, când m-am dus la ea pe 16 martie, am văzut o pagină care pentru o clipă m-a făcut să mă îndoiesc că autoritățile ne spun adevărul (nu știu care este motivul acestor numere, poate doar o greșeală):
Una dintre infrastructurile populare pe care atacatorii le folosesc pentru a trimite e-mailuri similare este Emotet, una dintre cele mai periculoase și populare amenințări din ultima vreme. Documentele Word atașate mesajelor de e-mail conțin programe de descărcare Emotet, care încarcă noi module rău intenționate pe computerul victimei. Emotet a fost folosit inițial pentru a promova link-uri către site-uri frauduloase care vindeau măști medicale, vizând locuitorii Japoniei. Mai jos vedeți rezultatul analizei unui fișier rău intenționat folosind sandboxing , care analizează fișierele pentru malware.
Dar atacatorii exploatează nu numai capacitatea de a se lansa în MS Word, ci și în alte aplicații Microsoft, de exemplu, în MS Excel (așa a acționat grupul de hackeri APT36), trimițând recomandări privind combaterea coronavirusului de la Guvernul Indiei care conține Crimson. ŞOBOLAN:
O altă campanie rău intenționată care exploatează tema coronavirusului este Nanocore RAT, care vă permite să instalați programe pe computerele victimei pentru acces de la distanță, interceptarea loviturilor de la tastatură, captarea imaginilor de pe ecran, accesarea fișierelor etc.
Și Nanocore RAT este de obicei livrat prin e-mail. De exemplu, mai jos vedeți un exemplu de mesaj e-mail cu o arhivă ZIP atașată care conține un fișier PIF executabil. Făcând clic pe fișierul executabil, victima instalează un program de acces la distanță (Remote Access Tool, RAT) pe computerul său.
Iată un alt exemplu de campanie parazitară pe tema COVID-19. Utilizatorul primește o scrisoare despre o presupusă întârziere a livrării din cauza coronavirusului cu o factură atașată cu extensia .pdf.ace. În interiorul arhivei comprimate se află conținut executabil care stabilește o conexiune la serverul de comandă și control pentru a primi comenzi suplimentare și a îndeplini alte obiective ale atacatorului.
Parallax RAT are o funcționalitate similară, care distribuie un fișier denumit „new infected CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif” și care instalează un program rău intenționat care interacționează cu serverul său de comandă prin protocolul DNS. Instrumente de protecție clasa EDR, un exemplu dintre care este , și fie NGFW va ajuta la monitorizarea comunicațiilor cu serverele de comandă (de exemplu, ), sau instrumente de monitorizare DNS (de exemplu, ).
În exemplul de mai jos, programul malware de acces la distanță a fost instalat pe computerul unei victime care, dintr-un motiv necunoscut, a făcut publicitate că un program antivirus obișnuit instalat pe un computer ar putea proteja împotriva COVID-19 real. Și la urma urmei, cineva s-a îndrăgostit de o astfel de glumă aparent.
Dar printre programele malware există și lucruri cu adevărat ciudate. De exemplu, fișiere de glumă care emulează munca ransomware. Într-un caz, divizia noastră Cisco Talos un fișier numit CoronaVirus.exe, care a blocat ecranul în timpul execuției și a pornit un cronometru și mesajul „Ștergerea tuturor fișierelor și folderelor de pe acest computer - coronavirus”.
La finalizarea numărătorii inverse, butonul din partea de jos a devenit activ și când a fost apăsat, a fost afișat următorul mesaj, care spunea că totul a fost o glumă și că ar trebui să apăsați Alt+F12 pentru a încheia programul.
Lupta împotriva e-mailurilor rău intenționate poate fi automatizată, de exemplu, folosind , care vă permite să detectați nu numai conținut rău intenționat din atașamente, ci și să urmăriți linkurile de phishing și clicurile pe acestea. Dar chiar și în acest caz, nu trebuie să uitați de instruirea utilizatorilor și de efectuarea regulată de simulări de phishing și exerciții cibernetice, care vor pregăti utilizatorii pentru diverse trucuri ale atacatorilor care vizează utilizatorii dvs. Mai ales dacă lucrează de la distanță și prin e-mailul personal, codul rău intenționat poate pătrunde în rețeaua corporativă sau departamentală. Aici as putea recomanda o solutie noua , care permite nu numai desfășurarea de micro- și nano-instruire a personalului cu privire la problemele de securitate a informațiilor, ci și de a organiza simulări de phishing pentru aceștia.
Dar dacă dintr-un motiv oarecare nu sunteți pregătit să utilizați astfel de soluții, atunci merită cel puțin să organizați e-mailuri regulate către angajații dvs., cu o reamintire a pericolului de phishing, exemplele acestuia și o listă de reguli pentru un comportament sigur (principalul este că atacatorii nu se deghează în ei). Apropo, unul dintre riscurile posibile în prezent este e-mailurile de phishing mascalate în scrisori din partea conducerii dvs., care ar fi vorbit despre noi reguli și proceduri pentru lucrul la distanță, software obligatoriu care trebuie instalat pe computerele de la distanță etc. Și nu uitați că, pe lângă e-mail, infractorii cibernetici pot folosi mesagerie instant și rețelele sociale.
În acest tip de program de corespondență sau de conștientizare, puteți include și exemplul deja clasic al unei hărți false a infecției cu coronavirus, care a fost similară cu cea Universitatea Johns Hopkins. Diferență a fost că la accesarea unui site de phishing, pe computerul utilizatorului a fost instalat malware, care a furat informațiile contului utilizatorului și le-a trimis infractorilor cibernetici. O versiune a unui astfel de program a creat și conexiuni RDP pentru acces de la distanță la computerul victimei.
Apropo, despre RDP. Acesta este un alt vector de atac pe care atacatorii încep să-l folosească mai activ în timpul pandemiei de coronavirus. Multe companii, atunci când trec la lucrul de la distanță, folosesc servicii precum RDP, care, dacă sunt configurate incorect din cauza grabei, pot duce la infiltrarea atacatorilor atât în computerele utilizatorilor de la distanță, cât și în interiorul infrastructurii corporative. Mai mult, chiar și cu o configurație corectă, diverse implementări RDP pot avea vulnerabilități care pot fi exploatate de atacatori. De exemplu, Cisco Talos vulnerabilități multiple în FreeRDP, iar în mai anul trecut, a fost descoperită o vulnerabilitate critică CVE-2019-0708 în serviciul Microsoft Remote Desktop, care permitea executarea de cod arbitrar pe computerul victimei, introducerea de malware etc. A fost chiar distribuit un buletin informativ despre ea și, de exemplu, Cisco Talos recomandări de protecție împotriva acesteia.
Există un alt exemplu de exploatare a temei coronavirus - amenințarea reală de infectare a familiei victimei dacă refuză să plătească răscumpărarea în bitcoins. Pentru a spori efectul, pentru a da semnificație literei și pentru a crea un sentiment de omnipotență al extorsionarului, parola victimei dintr-unul dintre conturile sale, obținută din bazele de date publice de autentificare și parole, a fost inserată în textul scrisorii.
Într-unul dintre exemplele de mai sus, am arătat un mesaj de phishing de la Organizația Mondială a Sănătății. Și iată un alt exemplu în care utilizatorilor li se cere ajutor financiar pentru a lupta cu COVID-19 (deși în antetul din corpul scrisorii se observă imediat cuvântul „DONAȚIE”) Și cer ajutor în bitcoin pentru a se proteja împotriva urmărirea criptomonedei.
Și astăzi există multe astfel de exemple care exploatează compasiunea utilizatorilor:
Bitcoin-urile sunt legate de COVID-19 într-un alt mod. De exemplu, așa arată e-mailurile primite de mulți cetățeni britanici care stau acasă și nu pot câștiga bani (în Rusia acum acest lucru va deveni relevant).
Mascarate drept ziare și site-uri de știri binecunoscute, aceste e-mailuri oferă bani ușori prin extragerea de criptomonede pe site-uri speciale. De fapt, după ceva timp, primiți un mesaj că suma pe care ați câștigat-o poate fi retrasă într-un cont special, dar trebuie să transferați o sumă mică de taxe înainte de aceasta. Este clar că după ce primesc acești bani, escrocii nu transferă nimic în schimb, iar utilizatorul credul pierde banii transferați.
Există o altă amenințare asociată cu Organizația Mondială a Sănătății. Hackerii au spart setările DNS ale routerelor D-Link și Linksys, folosite adesea de utilizatorii casnici și întreprinderile mici, pentru a le redirecționa către un site web fals cu un avertisment pop-up despre necesitatea instalării aplicației OMS, care le va păstra. la curent cu cele mai recente știri despre coronavirus. Mai mult, aplicația în sine conținea programul rău intenționat Oski, care fură informații.
O idee similară cu o aplicație care conține starea actuală a infecției cu COVID-19 este exploatată de troianul Android CovidLock, care este distribuit printr-o aplicație care se presupune că este „certificată” de Departamentul Educației din SUA, OMS și Centrul pentru Controlul Epidemiei ( CDC).
Mulți utilizatori de astăzi se află în autoizolare și, nedorind sau incapabili să gătească, folosesc în mod activ serviciile de livrare pentru alimente, produse alimentare sau alte bunuri, cum ar fi hârtie igienică. Atacatorii au stăpânit și acest vector pentru propriile lor scopuri. De exemplu, așa arată un site web rău intenționat, similar cu o resursă legitimă deținută de Canada Post. Link-ul din SMS-ul primit de victimă duce la un site care raportează că produsul comandat nu poate fi livrat deoarece lipsesc doar 3 USD, care trebuie plătit suplimentar. În acest caz, utilizatorul este direcționat către o pagină în care trebuie să indice detaliile cardului său de credit... cu toate consecințele care decurg.
În concluzie, aș dori să dau încă două exemple de amenințări cibernetice legate de COVID-19. De exemplu, pluginurile „COVID-19 Coronavirus - Live Map WordPress Plugin”, „Coronavirus Spread Prediction Graphs” sau „Covid-19” sunt încorporate în site-uri folosind popularul motor WordPress și, împreună cu afișarea unei hărți a răspândirii coronavirus, conțin și malware-ul WP-VCD. Iar compania Zoom, care, în urma creșterii numărului de evenimente online, a devenit foarte, foarte populară, s-a confruntat cu ceea ce experții au numit „Zoombombing”. Atacatorii, dar de fapt trolii porno obișnuiți, s-au conectat la chat-uri și întâlniri online și au arătat diverse videoclipuri obscene. Apropo, o amenințare similară este întâlnită astăzi de companiile rusești.
Cred că majoritatea dintre noi verificăm în mod regulat diverse resurse, atât oficiale, cât și nu atât de oficiale, despre starea actuală a pandemiei. Atacatorii exploatează acest subiect, oferindu-ne „cele mai recente” informații despre coronavirus, inclusiv informații „pe care autoritățile vi le ascund”. Dar chiar și utilizatorii obișnuiți au ajutat recent adesea atacatorii trimițând coduri de fapte verificate de la „cunoștințe” și „prieteni”. Psihologii spun că o astfel de activitate a utilizatorilor „alarmiști” care trimit tot ceea ce intră în câmpul lor vizual (în special în rețelele de socializare și mesagerie instant, care nu au mecanisme de protecție împotriva unor astfel de amenințări), le permite să se simtă implicați în lupta împotriva o amenințare globală și chiar se simt ca niște eroi care salvează lumea de coronavirus. Dar, din păcate, lipsa de cunoștințe speciale duce la faptul că aceste bune intenții „i conduc pe toți în iad”, creând noi amenințări la adresa securității cibernetice și extinzând numărul de victime.
De fapt, aș putea continua cu exemple de amenințări cibernetice legate de coronavirus; Mai mult, infractorii cibernetici nu stau pe loc și vin cu tot mai multe modalități noi de a exploata pasiunile umane. Dar cred că ne putem opri aici. Imaginea este deja clară și ne spune că în viitorul apropiat situația nu va face decât să se înrăutățească. Ieri, autoritățile de la Moscova au autoizolat orașul cu zece milioane de locuitori. La fel au făcut și autoritățile din regiunea Moscovei și din multe alte regiuni ale Rusiei, precum și cei mai apropiați vecini ai noștri din fostul spațiu post-sovietic. Aceasta înseamnă că numărul de victime potențiale vizate de infractorii cibernetici va crește de multe ori. Prin urmare, merită nu numai să vă reconsiderați strategia de securitate, care până de curând era axată pe protejarea doar a unei rețele corporative sau departamentale, și să evaluați ce instrumente de protecție vă lipsesc, ci și să luați în considerare exemplele date în programul dvs. de conștientizare a personalului, care este devenind o parte importantă a sistemului de securitate a informațiilor pentru lucrătorii la distanță. A gata să te ajute cu asta!
PS. La pregătirea acestui material au fost folosite materiale de la companiile Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security și RiskIQ, Departamentul de Justiție al SUA, resurse Bleeping Computer, SecurityAffairs etc.
Sursa: www.habr.com