Tema e koronavirusit sot ka mbushur të gjitha burimet e lajmeve, si dhe është bërë lajtmotivi kryesor për aktivitete të ndryshme të sulmuesve që shfrytëzojnë temën e COVID-19 dhe gjithçka që lidhet me të. Në këtë shënim, dëshiroj të tërheq vëmendjen për disa shembuj të një aktiviteti të tillë keqdashës, i cili, natyrisht, nuk është sekret për shumë specialistë të sigurisë së informacionit, por përmbledhja e të cilave në një shënim do ta bëjë më të lehtë përgatitjen e vetëdijes tuaj. -ngritja e ngjarjeve për punonjësit, disa prej të cilëve punojnë në distancë dhe të tjerë më të ndjeshëm ndaj kërcënimeve të ndryshme të sigurisë së informacionit se më parë.
Një minutë kujdes nga një UFO
Bota ka shpallur zyrtarisht një pandemi të COVID-19, një infeksion akut potencialisht i rëndë i frymëmarrjes i shkaktuar nga koronavirusi SARS-CoV-2 (2019-nCoV). Ka shumë informacione për Habré për këtë temë - gjithmonë mbani mend se mund të jetë edhe i besueshëm/i dobishëm dhe anasjelltas.
Ne ju inkurajojmë të jeni kritik ndaj çdo informacioni të publikuar.
Burime zyrtare
- Faqet e internetit dhe grupet zyrtare të shtabit operativ në rajone
Nëse nuk jetoni në Rusi, ju lutemi referojuni faqeve të ngjashme në vendin tuaj.
Lani duart, kujdesuni për të dashurit tuaj, qëndroni në shtëpi nëse është e mundur dhe punoni në distancë.Lexoni botime rreth: |
Duhet të theksohet se sot nuk ka kërcënime krejtësisht të reja të lidhura me koronavirusin. Përkundrazi, ne po flasim për vektorë sulmi që tashmë janë bërë tradicionalë, të përdorur thjesht në një "salcë" të re. Pra, unë do t'i quaja llojet kryesore të kërcënimeve:
- faqet e phishing dhe buletinet në lidhje me koronavirusin dhe kodin e lidhur me qëllim të keq
- Mashtrimi dhe dezinformimi që synojnë shfrytëzimin e frikës ose informacionit jo të plotë në lidhje me COVID-19
- sulme kundër organizatave të përfshira në kërkimin e koronavirusit
Në Rusi, ku qytetarët tradicionalisht nuk u besojnë autoriteteve dhe besojnë se po fshehin të vërtetën prej tyre, gjasat për të "promovuar" me sukses faqet e phishing dhe listat e postimeve, si dhe burimet mashtruese, janë shumë më të larta se në vendet me më të hapura. autoritetet. Edhe pse sot askush nuk mund ta konsiderojë veten absolutisht të mbrojtur nga mashtruesit kibernetikë krijues që përdorin të gjitha dobësitë klasike njerëzore të një personi - frikën, dhembshurinë, lakminë, etj.
Merrni, për shembull, një faqe mashtruese që shet maska mjekësore.
Një sajt i ngjashëm, CoronavirusMedicalkit[.]com, u mbyll nga autoritetet amerikane për shpërndarjen e një vaksine inekzistente për COVID-19 falas me "vetëm" postë për të dërguar ilaçin. Në këtë rast, me një çmim kaq të ulët, përllogaritja ishte për kërkesën e nxituar për ilaçin në kushte paniku në Shtetet e Bashkuara.
Ky nuk është një kërcënim klasik kibernetik, pasi detyra e sulmuesve në këtë rast nuk është të infektojnë përdoruesit ose të vjedhin të dhënat e tyre personale ose informacionin e identifikimit, por thjesht në valën e frikës për t'i detyruar ata të shpërthejnë dhe të blejnë maska mjekësore me çmime të fryra. me 5-10-30 herë më shumë se kostoja aktuale. Por vetë ideja për të krijuar një faqe interneti të rreme që shfrytëzon temën e koronavirusit po përdoret gjithashtu nga kriminelët kibernetikë. Për shembull, këtu është një sajt, emri i të cilit përmban fjalën kyçe “covid19”, por që është gjithashtu një faqe phishing.
Në përgjithësi, monitorimi i përditshëm i shërbimit tonë të hetimit të incidentit , shihni sa domene po krijohen emrat e të cilëve përmbajnë fjalët covid, covid19, coronavirus, etj. Dhe shumë prej tyre janë me qëllim të keq.
Në një mjedis ku disa nga punonjësit e kompanisë transferohen në punë nga shtëpia dhe ata nuk mbrohen nga masat e sigurisë së korporatës, është më e rëndësishme se kurrë të monitorohen burimet që aksesohen nga pajisjet mobile dhe desktop të punonjësve, me vetëdije ose pa njohuri. Nëse nuk e përdorni shërbimin për të zbuluar dhe bllokuar domene të tilla (dhe Cisco lidhja me këtë shërbim tani është falas), më pas të paktën konfiguroni zgjidhjet tuaja të monitorimit të aksesit në ueb për të monitoruar domenet me fjalë kyçe përkatëse. Në të njëjtën kohë, mbani mend se qasja tradicionale për futjen e domeneve në listën e zezë, si dhe përdorimi i bazave të të dhënave të reputacionit, mund të dështojë, pasi domenet me qëllim të keq krijohen shumë shpejt dhe përdoren në vetëm 1-2 sulme për jo më shumë se disa orë - atëherë sulmuesit kalojnë në domene kalimtare të reja. Kompanitë e sigurisë së informacionit thjesht nuk kanë kohë për të përditësuar shpejt bazat e tyre të njohurive dhe për t'i shpërndarë ato te të gjithë klientët e tyre.
Sulmuesit vazhdojnë të shfrytëzojnë në mënyrë aktive kanalin e emailit për të shpërndarë lidhje phishing dhe malware në bashkëngjitjet. Dhe efektiviteti i tyre është mjaft i lartë, pasi përdoruesit, ndërkohë që marrin postime plotësisht të ligjshme të lajmeve për koronavirusin, nuk mund të njohin gjithmonë diçka keqdashëse në vëllimin e tyre. Dhe ndërsa numri i njerëzve të infektuar po rritet vetëm, gama e kërcënimeve të tilla gjithashtu vetëm do të rritet.
Për shembull, kjo është se si duket një shembull i një emaili phishing në emër të CDC:
Ndjekja e lidhjes, natyrisht, nuk të çon në faqen e internetit të CDC, por në një faqe të rreme që vjedh hyrjen dhe fjalëkalimin e viktimës:
Këtu është një shembull i një emaili phishing gjoja në emër të Organizatës Botërore të Shëndetësisë:
Dhe në këtë shembull, sulmuesit po mbështeten në faktin se shumë njerëz besojnë se autoritetet po fshehin shkallën e vërtetë të infeksionit prej tyre, dhe për këtë arsye përdoruesit me kënaqësi dhe pothuajse pa hezitim klikojnë në këto lloj letrash me lidhje me qëllim të keq ose bashkëngjitje që gjoja do të zbulojë të gjitha sekretet.
Nga rruga, ekziston një faqe e tillë , i cili ju lejon të gjurmoni tregues të ndryshëm, për shembull, vdekshmërinë, numrin e duhanpirësve, popullsinë në vende të ndryshme, etj. Faqja e internetit ka gjithashtu një faqe kushtuar koronavirusit. Dhe kështu kur shkova në të më 16 mars, pashë një faqe që për një moment më bëri të dyshoja se autoritetet po na thoshin të vërtetën (nuk e di se cila është arsyeja e këtyre numrave, ndoshta thjesht një gabim):
Një nga infrastrukturat e njohura që sulmuesit përdorin për të dërguar emaile të ngjashme është Emotet, një nga kërcënimet më të rrezikshme dhe më të njohura të kohëve të fundit. Dokumentet Word të bashkangjitura në mesazhet e emailit përmbajnë shkarkime Emotet, të cilët ngarkojnë module të reja me qëllim të keq në kompjuterin e viktimës. Emotet fillimisht u përdor për të promovuar lidhje me faqet mashtruese që shesin maska mjekësore, duke synuar banorët e Japonisë. Më poshtë shihni rezultatin e analizimit të një skedari keqdashës duke përdorur sandboxing , i cili analizon skedarët për keqdashje.
Por sulmuesit shfrytëzojnë jo vetëm aftësinë për të nisur në MS Word, por edhe në aplikacione të tjera të Microsoft, për shembull, në MS Excel (kështu veproi grupi i hakerëve APT36), duke dërguar rekomandime për luftimin e koronavirusit nga Qeveria e Indisë që përmban Crimson RAT:
Një tjetër fushatë keqdashëse që shfrytëzon temën e koronavirusit është Nanocore RAT, e cila ju lejon të instaloni programe në kompjuterët e viktimave për akses në distancë, përgjim të goditjeve të tastierës, kapjen e imazheve të ekranit, aksesin në skedarë, etj.
Dhe Nanocore RAT zakonisht dërgohet me e-mail. Për shembull, më poshtë shihni një shembull të mesazhit të postës me një arkiv ZIP të bashkangjitur që përmban një skedar PIF të ekzekutueshëm. Duke klikuar në skedarin e ekzekutueshëm, viktima instalon në kompjuterin e tij një program aksesi në distancë (Remote Access Tool, RAT).
Këtu është një shembull tjetër i një paraziti të fushatës mbi temën e COVID-19. Përdoruesi merr një letër për një vonesë të supozuar të dorëzimit për shkak të koronavirusit me një faturë të bashkangjitur me shtesën .pdf.ace. Brenda arkivit të ngjeshur është një përmbajtje e ekzekutueshme që krijon një lidhje me serverin e komandës dhe kontrollit për të marrë komanda shtesë dhe për të kryer qëllime të tjera sulmuesi.
Parallax RAT ka funksionalitet të ngjashëm, i cili shpërndan një skedar të quajtur "qielli i ri i infektuar CORONAVIRUS 03.02.2020/XNUMX/XNUMX.pif" dhe i cili instalon një program keqdashës që ndërvepron me serverin e tij të komandës nëpërmjet protokollit DNS. Mjetet e mbrojtjes së klasës EDR, një shembull i të cilave është , dhe ose NGFW do të ndihmojë në monitorimin e komunikimeve me serverët e komandës (për shembull, ), ose mjetet e monitorimit të DNS (për shembull, ).
Në shembullin e mëposhtëm, malware me akses në distancë u instalua në kompjuterin e një viktime, e cila, për ndonjë arsye të panjohur, bleu në reklama se një program i rregullt antivirus i instaluar në një PC mund të mbronte kundër COVID-19 të vërtetë. Dhe në fund të fundit, dikush ra pas një shakaje të tillë në dukje.
Por në mesin e malware ka edhe disa gjëra vërtet të çuditshme. Për shembull, skedarët e shakave që imitojnë punën e ransomware. Në një rast, divizioni ynë Cisco Talos një skedar me emrin CoronaVirus.exe, i cili bllokoi ekranin gjatë ekzekutimit dhe nisi një kohëmatës dhe mesazhin "duke fshirë të gjithë skedarët dhe dosjet në këtë kompjuter - koronavirus".
Pas përfundimit të numërimit mbrapsht, butoni në fund u aktivizua dhe kur shtypej u shfaq mesazhi i mëposhtëm, duke thënë se e gjitha kjo ishte një shaka dhe se duhet të shtypni Alt+F12 për të përfunduar programin.
Lufta kundër postimeve me qëllim të keq mund të automatizohet, për shembull, duke përdorur , i cili ju lejon të zbuloni jo vetëm përmbajtje me qëllim të keq në bashkëngjitjet, por edhe të gjurmoni lidhjet e phishing dhe klikimet mbi to. Por edhe në këtë rast, nuk duhet të harroni trajnimin e përdoruesve dhe kryerjen e rregullt të simulimeve të phishing dhe ushtrimeve kibernetike, të cilat do t'i përgatisin përdoruesit për truket e ndryshme të sulmuesve që synojnë përdoruesit tuaj. Sidomos nëse ata punojnë nga distanca dhe përmes emailit të tyre personal, kodi me qëllim të keq mund të depërtojë në rrjetin e korporatës ose të departamentit. Këtu mund të rekomandoj një zgjidhje të re , i cili lejon jo vetëm kryerjen e mikro- dhe nano-trajnimit të personelit për çështjet e sigurisë së informacionit, por edhe organizimin e simulimeve të phishing për ta.
Por nëse për ndonjë arsye nuk jeni gati të përdorni zgjidhje të tilla, atëherë ia vlen të paktën të organizoni postime të rregullta për punonjësit tuaj me një kujtesë për rrezikun e phishing, shembujt e tij dhe një listë rregullash për sjellje të sigurt (gjëja kryesore është që sulmuesit nuk maskohen si ata). Nga rruga, një nga rreziqet e mundshme për momentin janë postimet e phishing, të maskuara si letra nga menaxhmenti juaj, të cilat gjoja flasin për rregulla dhe procedura të reja për punën në distancë, softuer të detyrueshëm që duhet të instalohet në kompjuterë të largët, etj. Dhe mos harroni se përveç postës elektronike, kriminelët kibernetikë mund të përdorin mesazhe të menjëhershme dhe rrjete sociale.
Në këtë lloj programi postimi ose ndërgjegjësimi, mund të përfshini edhe shembullin tashmë klasik të një harte të rreme të infeksionit të koronavirusit, e cila ishte e ngjashme me atë Universiteti Johns Hopkins. Diferenca ishte se kur hynin në një faqe phishing, në kompjuterin e përdoruesit u instalua malware, i cili vodhi informacionin e llogarisë së përdoruesit dhe ua dërgoi atë kriminelëve kibernetikë. Një version i një programi të tillë krijoi gjithashtu lidhje RDP për qasje në distancë në kompjuterin e viktimës.
Nga rruga, në lidhje me RDP. Ky është një tjetër vektor sulmi që sulmuesit kanë filluar ta përdorin më aktivisht gjatë pandemisë së koronavirusit. Shumë kompani, kur kalojnë në punë në distancë, përdorin shërbime të tilla si RDP, të cilat, nëse konfigurohen gabimisht për shkak të nxitimit, mund të çojnë në infiltrimin e sulmuesve si në kompjuterët e përdoruesve në distancë, ashtu edhe brenda infrastrukturës së korporatës. Për më tepër, edhe me konfigurim të saktë, zbatime të ndryshme RDP mund të kenë dobësi që mund të shfrytëzohen nga sulmuesit. Për shembull, Cisco Talos dobësi të shumta në FreeRDP, dhe në maj të vitit të kaluar, një cenueshmëri kritike CVE-2019-0708 u zbulua në shërbimin Microsoft Remote Desktop, i cili lejoi që kodi arbitrar të ekzekutohej në kompjuterin e viktimës, të futej malware, etj. Madje u shpërnda një buletin rreth saj , dhe, për shembull, Cisco Talos rekomandime për mbrojtje ndaj tij.
Ekziston një shembull tjetër i shfrytëzimit të temës së koronavirusit - kërcënimi real i infektimit të familjes së viktimës nëse ata refuzojnë të paguajnë shpërblimin në bitcoin. Për të rritur efektin, për t'i dhënë rëndësinë shkronjës dhe për të krijuar një ndjenjë të plotfuqishmërisë së zhvatësit, fjalëkalimi i viktimës nga një prej llogarive të tij, i marrë nga bazat e të dhënave publike të hyrjeve dhe fjalëkalimeve, u fut në tekstin e letrës.
Në një nga shembujt e mësipërm, unë tregova një mesazh phishing nga Organizata Botërore e Shëndetësisë. Dhe këtu është një shembull tjetër në të cilin përdoruesve u kërkohet ndihmë financiare për të luftuar COVID-19 (edhe pse në kokën në trupin e letrës, fjala "DONACION" bie menjëherë në sy). Dhe ata kërkojnë ndihmë në bitcoin për t'u mbrojtur kundër gjurmimi i kriptomonedhës.
Dhe sot ka shumë shembuj të tillë që shfrytëzojnë dhembshurinë e përdoruesve:
Bitcoins janë të lidhur me COVID-19 në një mënyrë tjetër. Për shembull, kështu duken postimet e marra nga shumë qytetarë britanikë që janë ulur në shtëpi dhe nuk mund të fitojnë para (në Rusi tani kjo do të bëhet gjithashtu e rëndësishme).
Duke u maskuar si gazeta dhe faqe lajmesh të njohura, këto postime ofrojnë para të lehta duke minuar kriptomonedha në faqe të veçanta. Në fakt, pas njëfarë kohe, ju merrni një mesazh se shuma që keni fituar mund të tërhiqet në një llogari të veçantë, por ju duhet të transferoni një shumë të vogël taksash para kësaj. Është e qartë se pas marrjes së këtyre parave, mashtruesit nuk transferojnë asgjë në këmbim, dhe përdoruesi sylesh humbet paratë e transferuara.
Ekziston një kërcënim tjetër i lidhur me Organizatën Botërore të Shëndetësisë. Hakerët hakuan cilësimet DNS të ruterave D-Link dhe Linksys, të përdorura shpesh nga përdoruesit shtëpiak dhe bizneset e vogla, në mënyrë që t'i ridrejtojnë në një faqe interneti të rreme me një paralajmërim kërcyes për nevojën për të instaluar aplikacionin e OBSH-së, i cili do t'i mbajë ato. të përditësuar me të rejat më të fundit në lidhje me koronavirusin. Për më tepër, vetë aplikacioni përmbante programin keqdashës Oski, i cili vjedh informacion.
Një ide e ngjashme me një aplikacion që përmban statusin aktual të infeksionit COVID-19 është shfrytëzuar nga Android Trojan CovidLock, i cili shpërndahet përmes një aplikacioni që supozohet se është "certifikuar" nga Departamenti i Arsimit i SHBA, OBSH dhe Qendra për Kontrollin e Epidemisë ( CDC).
Shumë përdorues sot janë në izolim dhe, pa dëshirë ose në pamundësi për të gatuar, përdorin në mënyrë aktive shërbimet e dërgesës për ushqim, sende ushqimore ose mallra të tjera, si letra higjienike. Sulmuesit gjithashtu e kanë zotëruar këtë vektor për qëllimet e tyre. Për shembull, kjo është se si duket një faqe interneti me qëllim të keq, e ngjashme me një burim legjitim në pronësi të Canada Post. Lidhja nga SMS-ja e marrë nga viktima çon në një faqe interneti që raporton se produkti i porositur nuk mund të dorëzohet sepse mungojnë vetëm 3 dollarë, të cilat duhet të paguhen ekstra. Në këtë rast, përdoruesi drejtohet në një faqe ku duhet të tregojë detajet e kartës së tij të kreditit... me të gjitha pasojat që pasojnë.
Si përfundim, do të doja të jap edhe dy shembuj të tjerë të kërcënimeve kibernetike që lidhen me COVID-19. Për shembull, shtojcat "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" ose "Covid-19" janë ndërtuar në sajte duke përdorur motorin popullor WordPress dhe, së bashku me shfaqjen e një harte të përhapjes së koronavirus, përmbajnë gjithashtu malware WP-VCD. Dhe kompania Zoom, e cila, në vazhdën e rritjes së numrit të ngjarjeve në internet, u bë shumë, shumë e njohur, u përball me atë që ekspertët e quajtën "Zoombombing". Sulmuesit, por në fakt trollët e zakonshëm porno, lidheshin me bisedat dhe takimet online dhe shfaqnin video të ndryshme të turpshme. Nga rruga, një kërcënim i ngjashëm haset sot nga kompanitë ruse.
Unë mendoj se shumica prej nesh kontrollojnë rregullisht burime të ndryshme, zyrtare dhe jo aq zyrtare, për statusin aktual të pandemisë. Sulmuesit po e shfrytëzojnë këtë temë, duke na ofruar informacionin "më të fundit" në lidhje me koronavirusin, duke përfshirë informacionin "që autoritetet po ju fshehin". Por edhe përdoruesit e zakonshëm kohët e fundit shpesh kanë ndihmuar sulmuesit duke dërguar kode të fakteve të verifikuara nga "të njohurit" dhe "miqtë". Psikologët thonë se një aktivitet i tillë i përdoruesve "alarmistë" që dërgojnë gjithçka që vjen në fushën e tyre të shikimit (veçanërisht në rrjetet sociale dhe mesazhet e çastit, të cilët nuk kanë mekanizma mbrojtës ndaj kërcënimeve të tilla), i lejon ata të ndihen të përfshirë në luftën kundër një kërcënim global dhe, madje të ndjehen si heronj që shpëtojnë botën nga koronavirusi. Por, për fat të keq, mungesa e njohurive të veçanta çon në faktin se këto qëllime të mira "i çojnë të gjithë në ferr", duke krijuar kërcënime të reja të sigurisë kibernetike dhe duke zgjeruar numrin e viktimave.
Në fakt, mund të vazhdoj me shembuj të kërcënimeve kibernetike që lidhen me koronavirusin; Për më tepër, kriminelët kibernetikë nuk qëndrojnë ende dhe nxjerrin gjithnjë e më shumë mënyra të reja për të shfrytëzuar pasionet njerëzore. Por unë mendoj se mund të ndalemi këtu. Tashmë fotografia është e qartë dhe na tregon se në të ardhmen e afërt situata do të përkeqësohet. Dje, autoritetet e Moskës e vendosën qytetin me dhjetë milionë banorë nën izolim. Autoritetet e rajonit të Moskës dhe shumë rajoneve të tjera të Rusisë, si dhe fqinjët tanë më të afërt në hapësirën e dikurshme post-sovjetike, bënë të njëjtën gjë. Kjo do të thotë se numri i viktimave të mundshme të shënjestruar nga kriminelët kibernetikë do të rritet shumëfish. Prandaj, ia vlen jo vetëm të rishikoni strategjinë tuaj të sigurisë, e cila deri vonë ishte e përqendruar në mbrojtjen vetëm të një rrjeti korporativ ose departamenti, dhe të vlerësoni se cilat mjete mbrojtëse ju mungojnë, por gjithashtu të merrni parasysh shembujt e dhënë në programin tuaj të ndërgjegjësimit të personelit, i cili është duke u bërë një pjesë e rëndësishme e sistemit të sigurisë së informacionit për punëtorët në distancë. A gati për t'ju ndihmuar me këtë!
PS. Në përgatitjen e këtij materiali u përdorën materiale nga kompanitë Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security dhe RiskIQ, Departamenti i Drejtësisë i SHBA, burimet Bleeping Computer, SecurityAffairs, etj.
Burimi: www.habr.com