Téma koronavírusu dnes zaplnila všetky spravodajské kanály a stala sa aj hlavným leitmotívom rôznych aktivít útočníkov zneužívajúcich tému COVID-19 a všetko s tým spojené. V tejto poznámke by som chcel upozorniť na niekoľko príkladov takejto zákernej činnosti, ktorá, samozrejme, nie je pre mnohých špecialistov informačnej bezpečnosti tajomstvom, no zhrnutie v jednej poznámke vám uľahčí prípravu vlastnej informovanosti - organizovanie podujatí pre zamestnancov, z ktorých niektorí pracujú na diaľku a iní sú náchylnejší na rôzne hrozby informačnej bezpečnosti ako predtým.
Minúta starostlivosti od UFO
Svet oficiálne vyhlásil pandémiu COVID-19, potenciálne závažnej akútnej respiračnej infekcie spôsobenej koronavírusom SARS-CoV-2 (2019-nCoV). O Habrém je na túto tému veľa informácií – vždy pamätajte, že môžu byť spoľahlivé/užitočné a naopak.
Odporúčame vám, aby ste boli kritickí voči všetkým zverejneným informáciám.
Oficiálne zdroje
- Webové stránky a oficiálne skupiny operačných veliteľstiev v regiónoch
Ak nežijete v Rusku, pozrite si podobné stránky vo vašej krajine.
Umyte si ruky, postarajte sa o svojich blízkych, ak je to možné, zostaňte doma a pracujte na diaľku.Prečítajte si publikácie o: |
Treba poznamenať, že dnes neexistujú žiadne úplne nové hrozby spojené s koronavírusom. Hovoríme skôr o útočných vektoroch, ktoré sa už stali tradičnými, jednoducho sa používajú v novej „omáčke“. Takže by som nazval kľúčové typy hrozieb:
- phishingové stránky a bulletiny súvisiace s koronavírusom a súvisiacim škodlivým kódom
- Podvody a dezinformácie zamerané na využitie strachu alebo neúplných informácií o COVID-19
- útoky na organizácie zapojené do výskumu koronavírusov
V Rusku, kde občania tradične nedôverujú úradom a veria, že pred nimi skrývajú pravdu, je pravdepodobnosť úspešnej „propagácie“ phishingových stránok a zoznamov adries, ako aj podvodných zdrojov oveľa vyššia ako v krajinách s otvorenejšími orgány. Hoci sa dnes nikto nemôže považovať za absolútne chránených pred kreatívnymi kybernetickými podvodníkmi, ktorí využívajú všetky klasické ľudské slabosti človeka – strach, súcit, chamtivosť atď.
Vezmite si napríklad podvodnú stránku, ktorá predáva lekárske masky.
Podobnú stránku, CoronavirusMedicalkit[.]com, zatvorili americké úrady kvôli bezplatnej distribúcii neexistujúcej vakcíny proti COVID-19 s „iba“ poštovným za odoslanie lieku. V tomto prípade, s takou nízkou cenou, bol výpočet pre prudký dopyt po lieku v podmienkach paniky v Spojených štátoch.
Nejde o klasickú kybernetickú hrozbu, keďže úlohou útočníkov v tomto prípade nie je nakaziť používateľov alebo ukradnúť ich osobné údaje či identifikačné údaje, ale jednoducho ich na vlne strachu prinútiť vypáčiť a kúpiť si lekárske masky za premrštené ceny. 5-10-30 krát prevyšujúce skutočné náklady. Ale samotnú myšlienku vytvorenia falošnej webovej stránky využívajúcej tému koronavírusu využívajú aj kyberzločinci. Napríklad tu je stránka, ktorej názov obsahuje kľúčové slovo „covid19“, ale ktorá je zároveň phishingovou stránkou.
Vo všeobecnosti denné monitorovanie našej služby vyšetrovania incidentov , vidíte, koľko domén sa vytvára, ktorých názvy obsahujú slová covid, covid19, koronavírus atď. A mnohé z nich sú zlomyseľné.
V prostredí, kde sú niektorí zamestnanci spoločnosti presunutí do práce z domu a nie sú chránení podnikovými bezpečnostnými opatreniami, je dôležitejšie ako kedykoľvek predtým monitorovať zdroje, ku ktorým majú zamestnanci prístup z mobilných a stolných zariadení, vedome alebo bez nich. vedomosti. Ak službu nevyužívate na detekciu a blokovanie takýchto domén (a Cisco pripojenie k tejto službe je teraz bezplatné), potom minimálne nakonfigurujte svoje riešenia monitorovania prístupu na web na monitorovanie domén s relevantnými kľúčovými slovami. Zároveň si pamätajte, že tradičný prístup k zaraďovaniu domén na čiernu listinu, ako aj používanie databáz reputácie, môže zlyhať, pretože škodlivé domény sa vytvárajú veľmi rýchlo a používajú sa iba pri 1-2 útokoch na dobu nie dlhšiu ako niekoľko hodín. útočníci prechádzajú na nové efemérne domény. Spoločnosti v oblasti informačnej bezpečnosti jednoducho nemajú čas rýchlo aktualizovať svoje databázy znalostí a distribuovať ich všetkým svojim klientom.
Útočníci naďalej aktívne využívajú e-mailový kanál na distribúciu phishingových odkazov a škodlivého softvéru v prílohách. A ich účinnosť je pomerne vysoká, pretože používatelia, ktorí dostávajú úplne legálne správy o koronavíruse, nemôžu vždy rozpoznať niečo škodlivé vo svojom objeme. A zatiaľ čo počet nakazených ľudí len rastie, rozsah takýchto hrozieb bude tiež len rásť.
Napríklad takto vyzerá príklad phishingového e-mailu v mene CDC:
Sledovanie odkazu samozrejme nevedie na webovú stránku CDC, ale na falošnú stránku, ktorá ukradne prihlasovacie meno a heslo obete:
Tu je príklad phishingového e-mailu údajne v mene Svetovej zdravotníckej organizácie:
A v tomto príklade útočníci rátajú s tým, že veľa ľudí sa domnieva, že úrady pred nimi zatajujú skutočný rozsah nákazy, a preto používatelia s radosťou a takmer bez váhania klikajú na tieto typy listov so škodlivými odkazmi alebo prílohami, ktoré vraj odhalí všetky tajomstvá.
Mimochodom, existuje taká stránka , ktorý vám umožňuje sledovať rôzne ukazovatele, napríklad úmrtnosť, počet fajčiarov, počet obyvateľov v rôznych krajinách atď. Web má aj stránku venovanú koronavírusu. A tak keď som tam 16. marca išiel, uvidel som stránku, ktorá ma na chvíľu prinútila pochybovať, že nám úrady hovoria pravdu (neviem, aký je dôvod týchto čísel, možno len omyl):
Jednou z populárnych infraštruktúr, ktoré útočníci používajú na odosielanie podobných e-mailov, je Emotet, jedna z najnebezpečnejších a najpopulárnejších hrozieb poslednej doby. Dokumenty Word pripojené k e-mailovým správam obsahujú programy na sťahovanie Emotet, ktoré načítajú nové škodlivé moduly do počítača obete. Emotet sa pôvodne používal na propagáciu odkazov na podvodné stránky predávajúce lekárske masky zamerané na obyvateľov Japonska. Nižšie vidíte výsledok analýzy škodlivého súboru pomocou karantény , ktorý analyzuje súbory na škodlivosť.
Útočníci však využívajú nielen možnosť spúšťania v MS Word, ale aj v iných aplikáciách Microsoftu, napríklad v MS Excel (takto postupovala hackerská skupina APT36), pričom od indickej vlády posielali odporúčania na boj proti koronavírusu s obsahom Crimson. POTKAN:
Ďalšou škodlivou kampaňou využívajúcou tému koronavírusu je Nanocore RAT, ktorá vám umožňuje inštalovať programy do počítačov obetí na vzdialený prístup, zachytávanie ťahov klávesnice, snímanie obrazov obrazovky, prístup k súborom atď.
A Nanocore RAT sa zvyčajne doručuje e-mailom. Napríklad nižšie vidíte príklad e-mailovej správy s pripojeným archívom ZIP, ktorý obsahuje spustiteľný súbor PIF. Kliknutím na spustiteľný súbor si obeť nainštaluje do svojho počítača program pre vzdialený prístup (Remote Access Tool, RAT).
A tu je ďalší príklad kampane parazitujúcej na tému COVID-19. Používateľ dostane list o predpokladanom oneskorení dodávky v dôsledku koronavírusu s priloženou faktúrou s príponou .pdf.ace. Vo vnútri komprimovaného archívu je spustiteľný obsah, ktorý vytvára spojenie s príkazovým a riadiacim serverom, aby mohol prijímať ďalšie príkazy a vykonávať ďalšie ciele útočníka.
Parallax RAT má podobnú funkcionalitu, ktorá distribuuje súbor s názvom „nový infikovaný CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif“ a ktorý nainštaluje škodlivý program, ktorý interaguje s jeho príkazovým serverom prostredníctvom protokolu DNS. Nástroje ochrany triedy EDR, ktorých príkladom je a buď NGFW pomôže monitorovať komunikáciu s príkazovými servermi (napr. ), alebo nástroje na monitorovanie DNS (napr. ).
V nižšie uvedenom príklade bol malvér pre vzdialený prístup nainštalovaný na počítači obete, ktorá si z neznámeho dôvodu kúpila reklamu, že bežný antivírusový program nainštalovaný v počítači môže chrániť pred skutočným COVID-19. A niekto predsa na takýto zdanlivý vtip prepadol.
Ale medzi malvérom je aj niekoľko naozaj zvláštnych vecí. Napríklad vtipné súbory, ktoré napodobňujú prácu ransomvéru. V jednom prípade naša divízia Cisco Talos súbor s názvom CoronaVirus.exe, ktorý počas spúšťania zablokoval obrazovku a spustil časovač a správu „odstraňujem všetky súbory a priečinky v tomto počítači – koronavírus“.
Po dokončení odpočítavania sa tlačidlo v spodnej časti aktivovalo a po jeho stlačení sa zobrazila nasledujúca správa, že toto všetko bol vtip a že by ste mali stlačiť Alt+F12 na ukončenie programu.
Boj proti škodlivým mailingom je možné automatizovať napríklad pomocou , ktorý umožňuje odhaliť nielen škodlivý obsah v prílohách, ale aj sledovať phishingové odkazy a kliknutia na ne. No ani v tomto prípade netreba zabúdať na školenie používateľov a pravidelné vykonávanie phishingových simulácií a kybernetických cvičení, ktoré používateľov pripravia na rôzne triky útočníkov namierené proti vašim používateľom. Najmä ak pracujú na diaľku a cez svoj osobný e-mail, škodlivý kód môže preniknúť do podnikovej alebo rezortnej siete. Tu by som mohol odporučiť nové riešenie , ktorá umožňuje nielen vykonávať mikro- a nano-školenie personálu v otázkach informačnej bezpečnosti, ale aj organizovať pre nich simulácie phishingu.
Ak však z nejakého dôvodu nie ste pripravení používať takéto riešenia, stojí za to aspoň organizovať pravidelné zasielanie správ svojim zamestnancom s pripomienkou nebezpečenstva phishingu, jeho príkladmi a zoznamom pravidiel bezpečného správania (hlavná vec je, že útočníci sa za nich neprezliekajú ). Mimochodom, jedným z možných rizík v súčasnosti sú phishingové korešpondencie vydávajúce sa za listy od vášho manažmentu, ktoré údajne hovoria o nových pravidlách a postupoch pre prácu na diaľku, povinnom softvéri, ktorý je nutné nainštalovať na vzdialené počítače atď. A nezabudnite, že okrem e-mailu môžu počítačoví zločinci používať instant messenger a sociálne siete.
Do tohto druhu mailingu alebo programu na zvyšovanie povedomia môžete zahrnúť aj už klasický príklad falošnej mapy nákazy koronavírusom, ktorá bola podobná tej Univerzita Johnsa Hopkinsa. Rozdiel spočívalo v tom, že pri prístupe na phishingovú stránku bol do počítača používateľa nainštalovaný malvér, ktorý ukradol informácie o používateľskom účte a poslal ich kyberzločincom. Jedna verzia takéhoto programu tiež vytvorila pripojenia RDP na vzdialený prístup k počítaču obete.
Mimochodom, o RDP. Toto je ďalší vektor útoku, ktorý útočníci začínajú aktívnejšie využívať počas pandémie koronavírusov. Mnoho spoločností pri prechode na prácu na diaľku využíva služby ako RDP, ktoré pri nesprávnej konfigurácii z dôvodu uponáhľanosti môžu viesť k prenikaniu útočníkov do počítačov vzdialených používateľov aj do podnikovej infraštruktúry. Navyše, aj pri správnej konfigurácii môžu mať rôzne implementácie RDP slabé miesta, ktoré môžu útočníci zneužiť. Napríklad Cisco Talos viaceré zraniteľnosti vo FreeRDP a v máji minulého roka bola objavená kritická zraniteľnosť CVE-2019-0708 v službe Microsoft Remote Desktop, ktorá umožňovala spustenie ľubovoľného kódu na počítači obete, zavedenie škodlivého softvéru atď. Dokonca bol o nej distribuovaný newsletter , a napríklad Cisco Talos odporúčania na ochranu pred ním.
Existuje ďalší príklad využitia témy koronavírusu – skutočná hrozba infekcie rodiny obete, ak odmietne zaplatiť výkupné v bitcoinoch. Aby sa zvýšil účinok, aby sa list získal na význame a vytvoril sa pocit všemohúcnosti vydierača, do textu listu bolo vložené heslo obete z jedného z jej účtov získaných z verejných databáz prihlasovacích údajov a hesiel.
V jednom z vyššie uvedených príkladov som ukázal phishingovú správu od Svetovej zdravotníckej organizácie. A tu je ďalší príklad, v ktorom sú používatelia požiadaní o finančnú pomoc v boji proti COVID-19 (hoci v hlavičke v tele listu je okamžite viditeľné slovo „DAROVANIE“) A žiadajú o pomoc v bitcoinoch na ochranu pred sledovanie kryptomien.
A dnes existuje veľa takýchto príkladov, ktoré využívajú súcit používateľov:
Bitcoiny súvisia s COVID-19 iným spôsobom. Takto napríklad vyzerajú korešpondencie, ktoré dostáva mnoho britských občanov, ktorí sedia doma a nemôžu zarábať peniaze (v Rusku to teraz bude tiež relevantné).
Tieto korešpondencie, ktoré sa vydávajú za známe noviny a spravodajské stránky, ponúkajú ľahké peniaze ťažbou kryptomien na špeciálnych stránkach. V skutočnosti po určitom čase dostanete správu, že sumu, ktorú ste zarobili, môžete vybrať na špeciálny účet, ale predtým musíte previesť malú sumu daní. Je jasné, že po prijatí týchto peňazí podvodníci na oplátku nič neprevedú a dôverčivý používateľ o prevedené peniaze príde.
So Svetovou zdravotníckou organizáciou sa spája aj ďalšia hrozba. Hackeri hackli nastavenia DNS smerovačov D-Link a Linksys, ktoré často používajú domáci používatelia a malé podniky, aby ich presmerovali na falošnú webovú stránku s vyskakovacím varovaním o potrebe nainštalovať aplikáciu WHO, ktorá ich zachová. aktuálne informácie o koronavíruse. Samotná aplikácia navyše obsahovala škodlivý program Oski, ktorý kradne informácie.
Podobný nápad s aplikáciou obsahujúcou aktuálny stav infekcie COVID-19 využíva Android Trojan CovidLock, ktorý je distribuovaný prostredníctvom aplikácie, ktorá je údajne „certifikovaná“ Ministerstvom školstva USA, WHO a Centrom pre kontrolu epidémie ( CDC).
Mnohí používatelia sú dnes v izolácii a bez ochoty alebo neschopnosti variť aktívne využívajú donáškové služby na jedlo, potraviny alebo iný tovar, ako je napríklad toaletný papier. Útočníci tiež zvládli tento vektor pre svoje vlastné účely. Takto napríklad vyzerá škodlivá webová stránka, podobne ako legitímny zdroj, ktorý vlastní Canada Post. Odkaz z SMS, ktorú obeť dostala, vedie na webovú stránku, ktorá hlási, že objednaný produkt nie je možné doručiť, pretože chýbajú len 3 doláre, ktoré treba doplatiť. V tomto prípade je používateľ presmerovaný na stránku, kde musí uviesť údaje o svojej kreditnej karte... so všetkými z toho vyplývajúcimi dôsledkami.
Na záver by som rád uviedol ešte dva príklady kybernetických hrozieb súvisiacich s COVID-19. Napríklad doplnky „COVID-19 Coronavirus – Live Map WordPress Plugin“, „Coronavirus Spread Prediction Graphs“ alebo „Covid-19“ sú zabudované do stránok využívajúcich populárny engine WordPress a spolu so zobrazením mapy šírenia koronavírus, obsahujú aj malvér WP-VCD. A spoločnosť Zoom, ktorá sa v dôsledku nárastu počtu online podujatí stala veľmi, veľmi populárnou, čelila tomu, čo odborníci nazývali „Zoombombing“. Útočníci, ale v skutočnosti obyčajní porno trollovia, sa pripájali na online chaty a online stretnutia a ukazovali rôzne obscénne videá. Mimochodom, s podobnou hrozbou sa dnes stretávajú ruské firmy.
Myslím si, že väčšina z nás pravidelne kontroluje rôzne zdroje, oficiálne aj menej oficiálne, o aktuálnom stave pandémie. Útočníci využívajú túto tému a ponúkajú nám „najnovšie“ informácie o koronavíruse vrátane informácií, „ktoré pred vami úrady skrývajú“. Ale aj obyčajní bežní používatelia v poslednej dobe často pomáhali útočníkom posielaním kódov overených faktov od „známych“ a „priateľov“. Psychológovia tvrdia, že takáto aktivita „alarmistických“ používateľov, ktorí vysielajú všetko, čo sa im dostane do zorného poľa (najmä v sociálnych sieťach a instant messengeroch, ktoré nemajú ochranné mechanizmy proti takýmto hrozbám), im umožňuje cítiť sa zapojení do boja proti globálna hrozba a dokonca sa cítiť ako hrdinovia zachraňujúci svet pred koronavírusom. Bohužiaľ, nedostatok špeciálnych znalostí vedie k tomu, že tieto dobré úmysly „vedú každého do pekla“, vytvárajú nové hrozby pre kybernetickú bezpečnosť a zvyšujú počet obetí.
V skutočnosti by som mohol pokračovať s príkladmi kybernetických hrozieb súvisiacich s koronavírusom; Kyberzločinci navyše nestoja na mieste a vymýšľajú stále nové a nové spôsoby, ako využiť ľudské vášne. Ale myslím, že sa tam môžeme zastaviť. Obrázok je už jasný a hovorí nám, že v blízkej budúcnosti sa situácia bude len zhoršovať. Moskovské úrady včera dostali desaťmiliónové mesto do samoizolácie. Úrady moskovského regiónu a mnohých ďalších regiónov Ruska, ako aj naši najbližší susedia v bývalom postsovietskom priestore, urobili to isté. To znamená, že počet potenciálnych obetí, na ktoré sa kyberzločinci zamerajú, sa mnohonásobne zvýši. Preto stojí za to nielen prehodnotiť svoju bezpečnostnú stratégiu, ktorá bola donedávna zameraná len na ochranu podnikovej alebo rezortnej siete, a posúdiť, aké ochranné nástroje vám chýbajú, ale brať do úvahy aj príklady uvedené vo vašom programe na zvyšovanie povedomia zamestnancov, ktorý je stáva dôležitou súčasťou systému informačnej bezpečnosti pre vzdialených pracovníkov. A pripravený vám s tým pomôcť!
PS. Pri príprave tohto materiálu boli použité materiály od spoločností Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security a RiskIQ, Ministerstva spravodlivosti USA, zdrojov Bleeping Computer, SecurityAffairs atď.
Zdroj: hab.com