Ang paksa ng coronavirus ngayon ay napuno ang lahat ng mga feed ng balita, at naging pangunahing leitmotif para sa iba't ibang aktibidad ng mga umaatake na nagsasamantala sa paksa ng COVID-19 at lahat ng nauugnay dito. Sa tala na ito, nais kong bigyang pansin ang ilang mga halimbawa ng naturang malisyosong aktibidad, na, siyempre, ay hindi isang lihim para sa maraming mga espesyalista sa seguridad ng impormasyon, ngunit ang buod kung saan sa isang tala ay magpapadali sa paghahanda ng iyong sariling kamalayan -pagtataas ng mga kaganapan para sa mga empleyado, ang ilan sa kanila ay nagtatrabaho nang malayuan at ang iba ay mas madaling kapitan sa iba't ibang banta sa seguridad ng impormasyon kaysa dati.
Isang minutong pangangalaga mula sa isang UFO
Opisyal na idineklara ng mundo ang isang pandemya ng COVID-19, isang potensyal na malubhang acute respiratory infection na dulot ng SARS-CoV-2 coronavirus (2019-nCoV). Mayroong maraming impormasyon sa Habré sa paksang ito - laging tandaan na maaari itong maging parehong maaasahan/kapaki-pakinabang at vice versa.
Hinihikayat ka naming maging mapanuri sa anumang impormasyong nai-publish.
Mga opisyal na mapagkukunan
- Mga website at opisyal na grupo ng operational headquarters sa mga rehiyon
Kung hindi ka nakatira sa Russia, mangyaring sumangguni sa mga katulad na site sa iyong bansa.
Maghugas ng kamay, alagaan ang iyong mga mahal sa buhay, manatili sa bahay kung maaari at magtrabaho nang malayuan.Basahin ang mga publikasyon tungkol sa: |
Dapat tandaan na walang ganap na bagong banta na nauugnay sa coronavirus ngayon. Sa halip, pinag-uusapan natin ang tungkol sa mga vector ng pag-atake na naging tradisyonal na, ginamit lamang sa isang bagong "sarsa." Kaya, tatawagin ko ang mga pangunahing uri ng pagbabanta:
- mga phishing site at newsletter na nauugnay sa coronavirus at nauugnay na malisyosong code
- Panloloko at disinformation na naglalayong pagsamantalahan ang takot o hindi kumpletong impormasyon tungkol sa COVID-19
- pag-atake laban sa mga organisasyong sangkot sa pananaliksik sa coronavirus
Sa Russia, kung saan ang mga mamamayan ay tradisyonal na hindi nagtitiwala sa mga awtoridad at naniniwala na itinatago nila ang katotohanan mula sa kanila, ang posibilidad na matagumpay na "mag-promote" ng mga phishing site at mailing list, pati na rin ang mga mapanlinlang na mapagkukunan, ay mas mataas kaysa sa mga bansang may mas bukas. mga awtoridad. Bagaman ngayon walang sinuman ang maaaring isaalang-alang ang kanilang sarili na ganap na protektado mula sa mga malikhaing cyber fraudsters na gumagamit ng lahat ng mga klasikong kahinaan ng tao ng isang tao - takot, pakikiramay, kasakiman, atbp.
Kunin, halimbawa, ang isang mapanlinlang na site na nagbebenta ng mga medikal na maskara.
Ang isang katulad na site, ang CoronavirusMedicalkit[.]com, ay isinara ng mga awtoridad ng US para sa pamamahagi ng isang hindi umiiral na bakunang COVID-19 nang libre na may "lamang" na selyo upang maipadala ang gamot. Sa kasong ito, na may ganoong mababang presyo, ang pagkalkula ay para sa mabilis na pangangailangan para sa gamot sa mga kondisyon ng gulat sa Estados Unidos.
Ito ay hindi isang klasikong banta sa cyber, dahil ang gawain ng mga umaatake sa kasong ito ay hindi upang mahawahan ang mga user o magnakaw ng kanilang personal na data o impormasyon ng pagkakakilanlan, ngunit lamang sa alon ng takot na pilitin silang umalis at bumili ng mga medikal na maskara sa mataas na presyo. sa pamamagitan ng 5-10-30 beses na lumampas sa aktwal na gastos. Ngunit ang mismong ideya ng paglikha ng isang pekeng website na nagsasamantala sa tema ng coronavirus ay ginagamit din ng mga cybercriminal. Halimbawa, narito ang isang site na ang pangalan ay naglalaman ng keyword na "covid19", ngunit isa ring phishing site.
Sa pangkalahatan, araw-araw na sinusubaybayan ang aming serbisyo sa pagsisiyasat ng insidente , makikita mo kung gaano karaming mga domain ang ginagawa na ang mga pangalan ay naglalaman ng mga salitang covid, covid19, coronavirus, atbp. At marami sa kanila ay malisyoso.
Sa isang kapaligiran kung saan ang ilan sa mga empleyado ng kumpanya ay inilipat sa trabaho mula sa bahay at hindi sila protektado ng mga hakbang sa seguridad ng kumpanya, mas mahalaga kaysa dati na subaybayan ang mga mapagkukunan na naa-access mula sa mga mobile at desktop device ng mga empleyado, alam man o wala ang kanilang kaalaman. Kung hindi mo ginagamit ang serbisyo upang makita at harangan ang mga naturang domain (at Cisco ang koneksyon sa serbisyong ito ay libre na), pagkatapos ay sa pinakamababa ay i-configure ang iyong mga solusyon sa pagsubaybay sa pag-access sa Web upang subaybayan ang mga domain na may mga nauugnay na keyword. Kasabay nito, tandaan na ang tradisyunal na diskarte sa pag-blacklist ng mga domain, pati na rin ang paggamit ng mga database ng reputasyon, ay maaaring mabigo, dahil ang mga nakakahamak na domain ay nilikha nang napakabilis at ginagamit lamang sa 1-2 pag-atake nang hindi hihigit sa ilang oras - pagkatapos ay ang ang mga umaatake ay lumipat sa mga bago na mga ephemeral na domain. Ang mga kumpanya ng seguridad ng impormasyon ay walang oras upang mabilis na i-update ang kanilang mga base ng kaalaman at ipamahagi ang mga ito sa lahat ng kanilang mga kliyente.
Patuloy na aktibong sinasamantala ng mga attacker ang email channel upang ipamahagi ang mga link sa phishing at malware sa mga attachment. At ang kanilang pagiging epektibo ay medyo mataas, dahil ang mga gumagamit, habang tumatanggap ng ganap na ligal na mga pagpapadala ng balita tungkol sa coronavirus, ay hindi palaging nakakakilala ng isang bagay na nakakapinsala sa kanilang dami. At habang ang bilang ng mga nahawaang tao ay lumalaki lamang, ang saklaw ng mga naturang banta ay lalago lamang.
Halimbawa, ganito ang hitsura ng isang halimbawa ng phishing email sa ngalan ng CDC:
Ang pagsunod sa link, siyempre, ay hindi humahantong sa website ng CDC, ngunit sa isang pekeng pahina na nagnanakaw ng login at password ng biktima:
Narito ang isang halimbawa ng isang phishing na email na sinasabing sa ngalan ng World Health Organization:
At sa halimbawang ito, umaasa ang mga umaatake sa katotohanan na maraming tao ang naniniwala na itinatago ng mga awtoridad ang totoong sukat ng impeksyon mula sa kanila, at samakatuwid ang mga gumagamit ay masaya at halos walang pag-aalinlangan na nag-click sa mga ganitong uri ng mga liham na may mga nakakahamak na link o mga attachment na diumano'y ibubunyag ang lahat ng sikreto.
Oo nga pala, may ganyang site , na nagpapahintulot sa iyo na subaybayan ang iba't ibang mga tagapagpahiwatig, halimbawa, dami ng namamatay, ang bilang ng mga naninigarilyo, populasyon sa iba't ibang bansa, atbp. Ang website ay mayroon ding page na nakatuon sa coronavirus. At kaya noong pinuntahan ko ito noong ika-16 ng Marso, nakakita ako ng isang pahina na pansamantalang nagduda sa akin na ang mga awtoridad ay nagsasabi sa amin ng totoo (hindi ko alam kung ano ang dahilan ng mga numerong ito, marahil ay isang pagkakamali lamang):
Ang isa sa mga sikat na imprastraktura na ginagamit ng mga umaatake upang magpadala ng mga katulad na email ay ang Emotet, isa sa mga pinaka-mapanganib at tanyag na banta sa mga kamakailang panahon. Ang mga dokumento ng Word na naka-attach sa mga mensaheng email ay naglalaman ng mga Emotet downloader, na naglo-load ng mga bagong malisyosong module sa computer ng biktima. Ang Emotet ay unang ginamit upang i-promote ang mga link sa mga mapanlinlang na site na nagbebenta ng mga medikal na maskara, na nagta-target sa mga residente ng Japan. Sa ibaba makikita mo ang resulta ng pagsusuri sa isang nakakahamak na file gamit ang sandboxing , na nagsusuri ng mga file para sa kapahamakan.
Ngunit sinasamantala ng mga umaatake hindi lamang ang kakayahang maglunsad sa MS Word, kundi pati na rin sa iba pang mga application ng Microsoft, halimbawa, sa MS Excel (ganito kung paano kumilos ang APT36 hacker group), nagpapadala ng mga rekomendasyon sa paglaban sa coronavirus mula sa Gobyerno ng India na naglalaman ng Crimson DAGA:
Ang isa pang nakakahamak na kampanyang nagsasamantala sa tema ng coronavirus ay ang Nanocore RAT, na nagbibigay-daan sa iyong mag-install ng mga program sa mga computer ng biktima para sa malayuang pag-access, pag-intercept sa mga stroke ng keyboard, pagkuha ng mga larawan sa screen, pag-access ng mga file, atbp.
At ang Nanocore RAT ay karaniwang inihahatid sa pamamagitan ng e-mail. Halimbawa, makikita mo sa ibaba ang isang halimbawang mensahe ng mail na may naka-attach na ZIP archive na naglalaman ng executable na PIF file. Sa pamamagitan ng pag-click sa executable file, nag-i-install ang biktima ng remote access program (Remote Access Tool, RAT) sa kanyang computer.
Narito ang isa pang halimbawa ng campaign parasitic sa paksang COVID-19. Nakatanggap ang user ng liham tungkol sa dapat na pagkaantala sa paghahatid dahil sa coronavirus na may kalakip na invoice na may extension na .pdf.ace. Sa loob ng naka-compress na archive ay may executable na content na nagtatatag ng koneksyon sa command at control server upang makatanggap ng mga karagdagang command at magsagawa ng iba pang mga layunin ng attacker.
Ang Parallax RAT ay may katulad na functionality, na namamahagi ng file na pinangalanang "new infected CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif" at nag-i-install ng malisyosong program na nakikipag-ugnayan sa command server nito sa pamamagitan ng DNS protocol. Mga tool sa proteksyon ng klase ng EDR, isang halimbawa nito ay , at alinman sa NGFW ay makakatulong sa pagsubaybay sa mga komunikasyon sa mga command server (halimbawa, ), o mga tool sa pagsubaybay sa DNS (halimbawa, ).
Sa halimbawa sa ibaba, na-install ang malayuang pag-access ng malware sa computer ng isang biktima na, sa hindi malamang dahilan, binili sa pag-advertise na maaaring maprotektahan ng regular na antivirus program na naka-install sa isang PC laban sa totoong COVID-19. At kung tutuusin, may nahulog sa parang biro.
Ngunit sa malware mayroon ding mga kakaibang bagay din. Halimbawa, mga joke file na tumutulad sa gawain ng ransomware. Sa isang kaso, ang aming Cisco Talos division isang file na pinangalanang CoronaVirus.exe, na humarang sa screen sa panahon ng pagpapatupad at nagsimula ng isang timer at ang mensaheng "tinatanggal ang lahat ng mga file at folder sa computer na ito - coronavirus."
Sa pagkumpleto ng countdown, ang pindutan sa ibaba ay naging aktibo at kapag pinindot, ang sumusunod na mensahe ay ipinapakita, na nagsasabi na ang lahat ng ito ay isang biro at dapat mong pindutin ang Alt+F12 upang tapusin ang programa.
Ang paglaban sa mga malisyosong mail ay maaaring awtomatiko, halimbawa, gamit , na nagbibigay-daan sa iyong tuklasin hindi lamang ang nakakahamak na nilalaman sa mga attachment, ngunit subaybayan din ang mga link sa phishing at mga pag-click sa mga ito. Ngunit kahit na sa kasong ito, hindi mo dapat kalimutan ang tungkol sa pagsasanay sa mga user at regular na pagsasagawa ng phishing simulation at cyber exercises, na maghahanda sa mga user para sa iba't ibang trick ng mga attacker na naglalayong laban sa iyong mga user. Lalo na kung nagtatrabaho sila nang malayuan at sa pamamagitan ng kanilang personal na email, maaaring tumagos ang malisyosong code sa corporate o departmental network. Dito maaari akong magrekomenda ng isang bagong solusyon , na nagbibigay-daan hindi lamang upang magsagawa ng micro- at nano-training ng mga tauhan sa mga isyu sa seguridad ng impormasyon, ngunit din upang ayusin ang mga simulation ng phishing para sa kanila.
Ngunit kung sa ilang kadahilanan ay hindi ka handa na gumamit ng mga naturang solusyon, kung gayon ito ay nagkakahalaga ng hindi bababa sa pag-aayos ng mga regular na pagpapadala sa iyong mga empleyado na may paalala sa panganib ng phishing, mga halimbawa nito at isang listahan ng mga patakaran para sa ligtas na pag-uugali (ang pangunahing bagay ay iyon ang mga umaatake ay hindi nagkukunwaring sila). Oo nga pala, isa sa mga posibleng panganib sa kasalukuyan ay ang mga phishing na mail na nagpapanggap bilang mga sulat mula sa iyong pamamahala, na sinasabing tungkol sa mga bagong patakaran at pamamaraan para sa malayuang trabaho, mandatoryong software na dapat i-install sa mga malalayong computer, atbp. At huwag kalimutan na bilang karagdagan sa email, ang mga cybercriminal ay maaaring gumamit ng mga instant messenger at social network.
Sa ganitong uri ng pag-mail o programa sa pagpapataas ng kamalayan, maaari mo ring isama ang dati nang klasikong halimbawa ng isang pekeng mapa ng impeksyon sa coronavirus, na katulad ng isa Johns Hopkins University. Pagkakaiba ay kapag nag-access sa isang phishing site, na-install ang malware sa computer ng user, na nagnakaw ng impormasyon ng user account at ipinadala ito sa mga cybercriminal. Ang isang bersyon ng naturang programa ay lumikha din ng mga koneksyon sa RDP para sa malayuang pag-access sa computer ng biktima.
Sa pamamagitan ng paraan, tungkol sa RDP. Ito ay isa pang vector ng pag-atake na nagsisimula nang gamitin ng mga umaatake sa panahon ng pandemya ng coronavirus. Maraming mga kumpanya, kapag lumilipat sa malayong trabaho, gumagamit ng mga serbisyo tulad ng RDP, na, kung hindi wastong na-configure dahil sa pagmamadali, ay maaaring humantong sa mga umaatake na makalusot sa parehong mga remote na computer ng gumagamit at sa loob ng corporate infrastructure. Bukod dito, kahit na may tamang configuration, ang iba't ibang mga pagpapatupad ng RDP ay maaaring may mga kahinaan na maaaring pagsamantalahan ng mga umaatake. Halimbawa, Cisco Talos maramihang mga kahinaan sa FreeRDP, at noong Mayo noong nakaraang taon, natuklasan ang isang kritikal na kahinaan na CVE-2019-0708 sa serbisyo ng Microsoft Remote Desktop, na nagpapahintulot sa arbitraryong code na maipatupad sa computer ng biktima, malware na ipakilala, atbp. Ang isang newsletter tungkol sa kanya ay ipinamahagi pa , at, halimbawa, Cisco Talos mga rekomendasyon para sa proteksyon laban dito.
May isa pang halimbawa ng pagsasamantala sa tema ng coronavirus - ang tunay na banta ng impeksyon ng pamilya ng biktima kung tumanggi silang magbayad ng ransom sa bitcoins. Upang mapahusay ang epekto, upang mabigyan ng kahalagahan ang liham at lumikha ng isang pakiramdam ng pagiging makapangyarihan ng extortionist, ang password ng biktima mula sa isa sa kanyang mga account, na nakuha mula sa mga pampublikong database ng mga pag-login at password, ay ipinasok sa teksto ng liham.
Sa isa sa mga halimbawa sa itaas, nagpakita ako ng mensahe ng phishing mula sa World Health Organization. At narito ang isa pang halimbawa kung saan ang mga user ay hinihingan ng tulong pinansyal upang labanan ang COVID-19 (bagaman sa header sa katawan ng liham, ang salitang "DONATIONTION" ay agad na napapansin). At humihingi sila ng tulong sa mga bitcoin upang maprotektahan laban sa pagsubaybay sa cryptocurrency.
At ngayon, maraming mga halimbawang nagsasamantala sa pakikiramay ng mga gumagamit:
Ang mga Bitcoin ay nauugnay sa COVID-19 sa ibang paraan. Halimbawa, ito ang hitsura ng mga sulat na natanggap ng maraming mamamayang British na nakaupo sa bahay at hindi kumita ng pera (sa Russia ngayon ay magiging may kaugnayan din ito).
Nagbabalatkayo bilang mga kilalang pahayagan at mga site ng balita, ang mga mailing na ito ay nag-aalok ng madaling pera sa pamamagitan ng pagmimina ng mga cryptocurrencies sa mga espesyal na site. Sa katunayan, pagkaraan ng ilang oras, nakatanggap ka ng mensahe na ang halagang iyong kinita ay maaaring i-withdraw sa isang espesyal na account, ngunit kailangan mong maglipat ng maliit na halaga ng mga buwis bago iyon. Malinaw na pagkatapos matanggap ang perang ito, ang mga scammer ay hindi naglilipat ng anuman bilang kapalit, at ang mapanlinlang na gumagamit ay nawala ang inilipat na pera.
May isa pang banta na nauugnay sa World Health Organization. Na-hack ng mga hacker ang mga setting ng DNS ng mga router ng D-Link at Linksys, na kadalasang ginagamit ng mga user sa bahay at maliliit na negosyo, upang i-redirect sila sa isang pekeng website na may pop-up na babala tungkol sa pangangailangang i-install ang WHO app, na magpapanatili sa kanila. napapanahon sa mga pinakabagong balita tungkol sa coronavirus. Bukod dito, ang application mismo ay naglalaman ng malisyosong programang Oski, na nagnanakaw ng impormasyon.
Ang isang katulad na ideya sa isang application na naglalaman ng kasalukuyang katayuan ng impeksyon sa COVID-19 ay pinagsamantalahan ng Android Trojan CovidLock, na ipinamamahagi sa pamamagitan ng isang application na diumano ay "certify" ng US Department of Education, WHO at ng Center for Epidemic Control ( CDC).
Maraming user ngayon ang nakahiwalay sa sarili at, ayaw o hindi marunong magluto, aktibong gumagamit ng mga serbisyo sa paghahatid para sa pagkain, mga pamilihan o iba pang mga produkto, gaya ng toilet paper. Pinagkadalubhasaan din ng mga umaatake ang vector na ito para sa kanilang sariling mga layunin. Halimbawa, ganito ang hitsura ng isang nakakahamak na website, katulad ng isang lehitimong mapagkukunan na pag-aari ng Canada Post. Ang link mula sa SMS na natanggap ng biktima ay humahantong sa isang website na nag-uulat na ang inorder na produkto ay hindi maihahatid dahil $3 na lang ang kulang, na dapat bayaran ng dagdag. Sa kasong ito, ididirekta ang user sa isang page kung saan dapat niyang isaad ang mga detalye ng kanyang credit card... kasama ang lahat ng kasunod na kahihinatnan.
Bilang konklusyon, gusto kong magbigay ng dalawa pang halimbawa ng mga banta sa cyber na may kaugnayan sa COVID-19. Halimbawa, ang mga plugin na “COVID-19 Coronavirus - Live Map WordPress Plugin”, “Coronavirus Spread Prediction Graphs” o “Covid-19” ay binuo sa mga site gamit ang sikat na WordPress engine at, kasama ang pagpapakita ng mapa ng pagkalat ng coronavirus, naglalaman din ng WP-VCD malware. At ang kumpanyang Zoom, na, pagkatapos ng paglaki ng bilang ng mga online na kaganapan, ay naging napaka-tanyag, ay nahaharap sa tinatawag ng mga eksperto na "Zoombombing." Ang mga umaatake, ngunit sa katunayan, ang mga ordinaryong porn troll, ay kumonekta sa mga online chat at online na pagpupulong at nagpakita ng iba't ibang malalaswang video. Sa pamamagitan ng paraan, ang isang katulad na banta ay nakatagpo ngayon ng mga kumpanya ng Russia.
Sa tingin ko karamihan sa atin ay regular na sinusuri ang iba't ibang mga mapagkukunan, parehong opisyal at hindi masyadong opisyal, tungkol sa kasalukuyang katayuan ng pandemya. Sinasamantala ng mga umaatake ang paksang ito, na nag-aalok sa amin ng "pinakabagong" impormasyon tungkol sa coronavirus, kabilang ang impormasyong "na itinatago sa iyo ng mga awtoridad." Ngunit kahit na ang mga ordinaryong ordinaryong user ay madalas na tumulong sa mga umaatake kamakailan sa pamamagitan ng pagpapadala ng mga code ng mga na-verify na katotohanan mula sa "mga kakilala" at "mga kaibigan." Sinasabi ng mga psychologist na ang ganitong aktibidad ng mga gumagamit ng "alarmist" na nagpapadala ng lahat ng bagay na pumapasok sa kanilang larangan ng pangitain (lalo na sa mga social network at instant messenger, na walang mga mekanismo ng proteksyon laban sa gayong mga banta), ay nagbibigay-daan sa kanila na madama na kasangkot sila sa paglaban sa isang pandaigdigang banta at , parang mga bayaning nagliligtas sa mundo mula sa coronavirus. Ngunit, sa kasamaang-palad, ang kakulangan ng espesyal na kaalaman ay humahantong sa katotohanan na ang mabubuting hangarin na ito ay "nangunguna sa lahat sa impiyerno," na lumilikha ng mga bagong banta sa cybersecurity at pagpapalawak ng bilang ng mga biktima.
Sa katunayan, maaari akong magpatuloy sa mga halimbawa ng mga banta sa cyber na may kaugnayan sa coronavirus; Bukod dito, ang mga cybercriminal ay hindi tumitigil at gumagawa ng parami nang parami ng mga bagong paraan upang pagsamantalahan ang mga hilig ng tao. Ngunit sa palagay ko maaari tayong tumigil doon. Ang larawan ay malinaw na at ito ay nagsasabi sa amin na sa malapit na hinaharap ang sitwasyon ay lalala lamang. Kahapon, inilagay ng mga awtoridad sa Moscow ang lungsod ng sampung milyong tao sa ilalim ng self-isolation. Ang mga awtoridad ng rehiyon ng Moscow at maraming iba pang mga rehiyon ng Russia, pati na rin ang aming pinakamalapit na mga kapitbahay sa dating post-Soviet space, ay ganoon din ang ginawa. Nangangahulugan ito na ang bilang ng mga potensyal na biktima na tinatarget ng mga cybercriminal ay tataas nang maraming beses. Samakatuwid, ito ay nagkakahalaga hindi lamang muling isaalang-alang ang iyong diskarte sa seguridad, na hanggang kamakailan ay nakatuon sa pagprotekta lamang sa isang corporate o departamento ng network, at pagtatasa kung anong mga tool sa proteksyon ang kulang mo, ngunit isinasaalang-alang din ang mga halimbawang ibinigay sa iyong programa ng kamalayan sa tauhan, na nagiging mahalagang bahagi ng sistema ng seguridad ng impormasyon para sa mga malalayong manggagawa. A handang tumulong sa iyo dito!
PS. Sa paghahanda ng materyal na ito, ginamit ang mga materyales mula sa Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security at RiskIQ, ang US Department of Justice, Bleeping Computer resources, SecurityAffairs, atbp. P.
Pinagmulan: www.habr.com