Ämnet om coronavirus idag har fyllt alla nyhetsflöden och har också blivit det främsta ledmotivet för olika aktiviteter av angripare som utnyttjar ämnet covid-19 och allt som är kopplat till det. I denna anteckning vill jag uppmärksamma några exempel på sådan skadlig aktivitet, vilket naturligtvis inte är en hemlighet för många informationssäkerhetsspecialister, men sammanfattningen av vilka i en anteckning kommer att göra det lättare att förbereda din egen medvetenhet -att lyfta evenemang för anställda, av vilka en del arbetar på distans och andra mer mottagliga för olika informationssäkerhetshot än tidigare.
Ett ögonblick av omsorg från ett UFO
Världen har officiellt deklarerat en pandemi av COVID-19, en potentiellt allvarlig akut luftvägsinfektion orsakad av SARS-CoV-2 coronavirus (2019-nCoV). Det finns mycket information om Habré om detta ämne - kom alltid ihåg att det kan vara både tillförlitligt/användbart och vice versa.
Vi uppmuntrar dig att vara kritisk till all information som publiceras.
Officiella källor
- Webbplatser och officiella grupper av operativa huvudkontor i regionerna
Om du inte bor i Ryssland, se liknande webbplatser i ditt land.
Tvätta händerna, ta hand om dina nära och kära, stanna hemma om möjligt och jobba på distans.Läs publikationer om: |
Det bör noteras att det inte finns några helt nya hot förknippade med coronavirus idag. Snarare talar vi om attackvektorer som redan har blivit traditionella, helt enkelt använda i en ny "sås". Så jag skulle kalla de viktigaste typerna av hot:
- nätfiskesidor och nyhetsbrev relaterade till coronavirus och relaterad skadlig kod
- Bedrägeri och desinformation som syftar till att utnyttja rädsla eller ofullständig information om COVID-19
- attacker mot organisationer som är involverade i coronavirusforskning
I Ryssland, där medborgarna traditionellt inte litar på myndigheterna och tror att de döljer sanningen för dem, är sannolikheten att framgångsrikt "främja" nätfiskewebbplatser och e-postlistor, såväl som bedrägliga resurser, mycket högre än i länder med mer öppna myndigheterna. Även om ingen idag kan anse sig vara absolut skyddad från kreativa cyberbedragare som använder alla klassiska mänskliga svagheter hos en person - rädsla, medkänsla, girighet, etc.
Ta till exempel en bedräglig webbplats som säljer medicinska masker.
En liknande webbplats, CoronavirusMedicalkit[.]com, stängdes av amerikanska myndigheter för att ha distribuerat ett obefintligt covid-19-vaccin gratis med "endast" porto för att skicka läkemedlet. I det här fallet, med ett så lågt pris, var beräkningen för den hastiga efterfrågan på medicinen under paniktillstånd i USA.
Detta är inte ett klassiskt cyberhot, eftersom angriparnas uppgift i det här fallet inte är att infektera användare eller stjäla deras personliga data eller identifieringsinformation, utan helt enkelt på vågen av rädsla för att tvinga dem att punga ut och köpa medicinska masker till höga priser med 5-10-30 gånger över den faktiska kostnaden. Men själva idén att skapa en falsk webbplats som utnyttjar coronavirus-temat används också av cyberbrottslingar. Här är till exempel en sida vars namn innehåller nyckelordet "covid19", men som också är en nätfiskesida.
I allmänhet, daglig övervakning av vår incidentutredningstjänst , ser du hur många domäner som skapas vars namn innehåller orden covid, covid19, coronavirus, etc. Och många av dem är illvilliga.
I en miljö där en del av företagets anställda flyttas till jobbet hemifrån och de inte skyddas av företagets säkerhetsåtgärder, är det viktigare än någonsin att övervaka de resurser som nås från anställdas mobila och stationära enheter, medvetet eller utan deras kunskap. Om du inte använder tjänsten för att upptäcka och blockera sådana domäner (och Cisco anslutning till den här tjänsten är nu gratis), konfigurera sedan åtminstone dina övervakningslösningar för webbåtkomst för att övervaka domäner med relevanta nyckelord. Samtidigt, kom ihåg att det traditionella tillvägagångssättet för att svartlista domäner, såväl som att använda ryktesdatabaser, kan misslyckas, eftersom skadliga domäner skapas mycket snabbt och används i endast 1-2 attacker under högst några timmar - då angripare byter till nya tillfälliga domäner. Informationssäkerhetsföretag har helt enkelt inte tid att snabbt uppdatera sina kunskapsbaser och distribuera dem till alla sina kunder.
Angripare fortsätter att aktivt utnyttja e-postkanalen för att distribuera nätfiske-länkar och skadlig programvara i bilagor. Och deras effektivitet är ganska hög, eftersom användare, samtidigt som de får helt lagliga nyhetsutskick om coronavirus, inte alltid kan känna igen något skadligt i deras volym. Och medan antalet infekterade människor bara växer, kommer utbudet av sådana hot också bara att växa.
Så här ser till exempel ut ett exempel på ett nätfiske-e-postmeddelande på uppdrag av CDC:
Att följa länken leder naturligtvis inte till CDC:s webbplats, utan till en falsk sida som stjäl offrets login och lösenord:
Här är ett exempel på ett nätfiske-e-postmeddelande som antas på uppdrag av Världshälsoorganisationen:
Och i det här exemplet räknar angriparna med det faktum att många människor tror att myndigheterna döljer den verkliga omfattningen av infektionen för dem, och därför klickar användare glatt och nästan utan att tveka på dessa typer av brev med skadliga länkar eller bilagor som kommer förmodligen att avslöja alla hemligheter.
Förresten, det finns en sådan sida , som låter dig spåra olika indikatorer, till exempel dödlighet, antalet rökare, befolkning i olika länder, etc. Webbplatsen har också en sida dedikerad till coronaviruset. Och så när jag gick till det den 16 mars såg jag en sida som för ett ögonblick fick mig att tvivla på att myndigheterna berättade sanningen (jag vet inte vad anledningen till dessa siffror är, kanske bara ett misstag):
En av de populära infrastrukturerna som angripare använder för att skicka liknande e-postmeddelanden är Emotet, ett av de farligaste och mest populära hoten på senare tid. Word-dokument som bifogas e-postmeddelanden innehåller Emotet-nedladdare, som laddar nya skadliga moduler på offrets dator. Emotet användes ursprungligen för att marknadsföra länkar till bedrägliga webbplatser som säljer medicinska masker, riktade mot invånare i Japan. Nedan ser du resultatet av att analysera en skadlig fil med hjälp av sandboxing , som analyserar filer för skadlighet.
Men angripare utnyttjar inte bara möjligheten att starta i MS Word, utan även i andra Microsoft-applikationer, till exempel i MS Excel (så här agerade hackergruppen APT36), och skickade ut rekommendationer om att bekämpa coronavirus från Indiens regering som innehåller Crimson RÅTTA:
En annan skadlig kampanj som utnyttjar coronavirus-temat är Nanocore RAT, som låter dig installera program på offerdatorer för fjärråtkomst, avlyssning av tangentbordstryck, fånga skärmbilder, komma åt filer, etc.
Och Nanocore RAT levereras vanligtvis via e-post. Nedan ser du till exempel ett exempel på ett e-postmeddelande med ett bifogat ZIP-arkiv som innehåller en körbar PIF-fil. Genom att klicka på den körbara filen installerar offret ett fjärråtkomstprogram (Remote Access Tool, RAT) på sin dator.
Här är ytterligare ett exempel på en kampanjparasit på ämnet covid-19. Användaren får ett brev om en förmodad leveransförsening på grund av coronavirus med bifogad faktura med tillägget .pdf.ace. Inuti det komprimerade arkivet finns körbart innehåll som upprättar en anslutning till kommando- och kontrollservern för att ta emot ytterligare kommandon och utföra andra angriparmål.
Parallax RAT har liknande funktionalitet, som distribuerar en fil med namnet "new infected CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif" och som installerar ett skadligt program som interagerar med dess kommandoserver via DNS-protokollet. EDR-klassskyddsverktyg, ett exempel på det är , och antingen NGFW kommer att hjälpa till att övervaka kommunikation med kommandoservrar (till exempel, ), eller DNS-övervakningsverktyg (till exempel, ).
I exemplet nedan installerades skadlig programvara för fjärråtkomst på datorn till ett offer som av någon okänd anledning köpte in reklam som ett vanligt antivirusprogram installerat på en PC kunde skydda mot verklig COVID-19. Och trots allt föll någon för ett sådant till synes skämt.
Men bland skadlig programvara finns det också några riktigt konstiga saker. Till exempel skämtfiler som efterliknar arbetet med ransomware. I ett fall vår Cisco Talos-division en fil med namnet CoronaVirus.exe, som blockerade skärmen under körningen och startade en timer och meddelandet "tar bort alla filer och mappar på den här datorn - coronavirus."
Efter avslutad nedräkning blev knappen längst ner aktiv och när den trycktes på visades följande meddelande som sa att allt var ett skämt och att du borde trycka på Alt+F12 för att avsluta programmet.
Kampen mot skadliga utskick kan automatiseras, till exempel med hjälp av , som låter dig upptäcka inte bara skadligt innehåll i bilagor, utan även spåra nätfiske-länkar och klick på dem. Men även i det här fallet bör du inte glömma att utbilda användare och regelbundet genomföra phishing-simuleringar och cyberövningar, vilket kommer att förbereda användare för olika tricks av angripare riktade mot dina användare. Särskilt om de arbetar på distans och via sin personliga e-post, kan skadlig kod tränga in i företags- eller avdelningsnätverket. Här skulle jag kunna rekommendera en ny lösning , som inte bara gör det möjligt att genomföra mikro- och nanoutbildning av personal i informationssäkerhetsfrågor, utan också att organisera nätfiske-simuleringar för dem.
Men om du av någon anledning inte är redo att använda sådana lösningar, är det värt att åtminstone organisera regelbundna utskick till dina anställda med en påminnelse om nätfiskefaran, dess exempel och en lista med regler för säkert beteende (huvudsaken är att angripare maskerar sig inte som dem ). Förresten, en av de möjliga riskerna för närvarande är nätfiskeutskick som maskerar sig som brev från din ledning, som påstås tala om nya regler och procedurer för distansarbete, obligatorisk programvara som måste installeras på fjärrdatorer, etc. Och glöm inte att förutom e-post kan cyberbrottslingar använda snabbmeddelanden och sociala nätverk.
I den här typen av utskick eller program för att öka medvetenheten kan du också inkludera det redan klassiska exemplet på en falsk karta över coronavirusinfektion, som liknade den. Johns Hopkins University. Skillnad var att vid åtkomst till en nätfiskewebbplats installerades skadlig programvara på användarens dator, som stal användarkontoinformation och skickade den till cyberbrottslingar. En version av ett sådant program skapade också RDP-anslutningar för fjärråtkomst till offrets dator.
Förresten, om RDP. Detta är ytterligare en attackvektor som angripare börjar använda mer aktivt under coronavirus-pandemin. Många företag, när de byter till distansarbete, använder tjänster som RDP, som, om de konfigureras felaktigt på grund av brådska, kan leda till att angripare infiltrerar både fjärranvändardatorer och inuti företagets infrastruktur. Dessutom, även med korrekt konfiguration, kan olika RDP-implementationer ha sårbarheter som kan utnyttjas av angripare. Till exempel Cisco Talos flera sårbarheter i FreeRDP, och i maj förra året upptäcktes en kritisk sårbarhet CVE-2019-0708 i tjänsten Microsoft Remote Desktop, som gjorde att godtycklig kod kunde exekveras på offrets dator, skadlig programvara introduceras, etc. Ett nyhetsbrev om henne delades till och med ut , och till exempel Cisco Talos rekommendationer för skydd mot det.
Det finns ett annat exempel på utnyttjandet av coronavirus-temat - det verkliga hotet om infektion av offrets familj om de vägrar att betala lösen i bitcoins. För att förstärka effekten, ge brevet betydelse och skapa en känsla av allmakt hos utpressaren, infogades offrets lösenord från ett av hans konton, erhållet från offentliga databaser med inloggningar och lösenord, i brevets text.
I ett av exemplen ovan visade jag ett nätfiskemeddelande från Världshälsoorganisationen. Och här är ett annat exempel där användare ombeds om ekonomisk hjälp för att bekämpa COVID-19 (även om ordet "DONATION" märks direkt i rubriken i brevets brödtext). Och de ber om hjälp i bitcoins för att skydda sig mot spårning av kryptovaluta.
Och idag finns det många sådana exempel som utnyttjar användarnas medkänsla:
Bitcoins är relaterade till COVID-19 på ett annat sätt. Så här ser till exempel ut utskick som tas emot av många brittiska medborgare som sitter hemma och inte kan tjäna pengar (i Ryssland kommer nu detta också att bli aktuellt).
Dessa utskick, maskerade som välkända tidningar och nyhetssajter, erbjuder lätta pengar genom att bryta kryptovalutor på speciella webbplatser. Faktum är att du efter en tid får ett meddelande om att beloppet du har tjänat kan dras till ett speciellt konto, men du måste överföra en liten mängd skatt innan dess. Det är tydligt att efter att ha tagit emot dessa pengar överför bedragarna inte något i gengäld, och den godtrogne användaren förlorar de överförda pengarna.
Det finns ett annat hot förknippat med Världshälsoorganisationen. Hackare hackade DNS-inställningarna för D-Link- och Linksys-routrar, som ofta används av hemanvändare och småföretag, för att omdirigera dem till en falsk webbplats med en popup-varning om behovet av att installera WHO-appen, som kommer att behålla dem uppdaterad med de senaste nyheterna om coronaviruset. Dessutom innehöll själva applikationen det skadliga programmet Oski, som stjäl information.
En liknande idé med en applikation som innehåller den aktuella statusen för COVID-19-infektion utnyttjas av Android-trojanen CovidLock, som distribueras genom en applikation som ska vara "certifierad" av det amerikanska utbildningsdepartementet, WHO och Center for Epidemic Control ( CDC).
Många användare befinner sig idag i självisolering och, ovilliga eller oförmögna att laga mat, använder de aktivt leveranstjänster för mat, dagligvaror eller andra varor, till exempel toalettpapper. Angripare har också bemästrat denna vektor för sina egna syften. Till exempel är det så här en skadlig webbplats ser ut, liknande en legitim resurs som ägs av Canada Post. Länken från det sms som offret fått leder till en hemsida som rapporterar att den beställda produkten inte kan levereras eftersom det bara saknas 3 $, som måste betalas extra. I det här fallet hänvisas användaren till en sida där han måste ange detaljerna för sitt kreditkort... med alla följder av det.
Avslutningsvis skulle jag vilja ge ytterligare två exempel på cyberhot relaterade till covid-19. Till exempel är plugin-programmen "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" eller "Covid-19" inbyggda i webbplatser som använder den populära WordPress-motorn och visar tillsammans med en karta över spridningen av coronavirus, innehåller också WP-VCD malware. Och företaget Zoom, som i kölvattnet av ökningen av antalet onlineevenemang blev väldigt, väldigt populärt, ställdes inför vad experter kallade "Zoombombing." Angriparna, men i själva verket vanliga porrtroll, kopplade till onlinechattar och onlinemöten och visade olika obscena videor. Förresten, ett liknande hot möts idag av ryska företag.
Jag tror att de flesta av oss regelbundet kontrollerar olika resurser, både officiella och inte så officiella, om pandemins aktuella status. Angripare utnyttjar detta ämne och erbjuder oss den "senaste" informationen om coronaviruset, inklusive information "som myndigheterna gömmer för dig." Men även vanliga vanliga användare har nyligen ofta hjälpt angripare genom att skicka koder med verifierade fakta från "bekanta" och "vänner". Psykologer säger att sådan aktivitet av "alarmistiska" användare som skickar ut allt som kommer in i deras synfält (särskilt i sociala nätverk och snabbmeddelanden, som inte har skyddsmekanismer mot sådana hot), gör att de kan känna sig involverade i kampen mot ett globalt hot och känns till och med som hjältar som räddar världen från coronaviruset. Men tyvärr leder bristen på specialkunskap till det faktum att dessa goda avsikter "leder alla till helvetet", skapar nya cybersäkerhetshot och utökar antalet offer.
Jag skulle faktiskt kunna fortsätta med exempel på cyberhot relaterade till coronavirus; Dessutom står cyberbrottslingar inte stilla och kommer på fler och fler nya sätt att utnyttja mänskliga passioner. Men jag tror att vi kan sluta där. Bilden är redan klar och den säger oss att situationen inom en snar framtid bara kommer att förvärras. I går placerade Moskvas myndigheter staden med tio miljoner människor i självisolering. Myndigheterna i Moskva-regionen och många andra regioner i Ryssland, såväl som våra närmaste grannar i det tidigare postsovjetiska rymden, gjorde samma sak. Detta innebär att antalet potentiella offer som riktas till cyberbrottslingar kommer att öka många gånger om. Därför är det värt att inte bara ompröva din säkerhetsstrategi, som tills nyligen var fokuserad på att endast skydda ett företags- eller avdelningsnätverk, och bedöma vilka skyddsverktyg du saknar, utan också att ta hänsyn till de exempel som ges i ditt program för personalmedvetenhet, vilket är blir en viktig del av informationssäkerhetssystemet för distansarbetare. A redo att hjälpa dig med detta!
PS. Vid utarbetandet av detta material användes material från Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security och RiskIQ-företag, US Department of Justice, Bleeping Computer Resources, SecurityAffairs, etc. P.
Källa: will.com