Тема коронавірусу сьогодні заполонила всі стрічки новин, а також стала основним лейтмотивом і для різних активностей зловмисників, які експлуатують тему COVID-19 і все, що з нею пов'язано. У цій замітці мені б хотілося звернути увагу на деякі приклади такої шкідливої активності, яка, безумовно, не є секретом для багатьох фахівців з ІБ, але зведення якої в одній замітці полегшить підготовку власних заходів щодо підвищення обізнаності співробітників, частина з яких працює віддалено та ще більш схильна до різних загроз ІБ, ніж раніше.
Хвилина турботи від НЛО
У світі офіційно оголошено пандемію COVID-19 — потенційно тяжку гостру респіраторну інфекцію, що викликається коронавірусом SARS-CoV-2 (2019-nCoV). На Хабре багато інформації з цієї теми — завжди пам'ятайте, що вона може бути як достовірною/корисною, так і навпаки.
Ми закликаємо вас критично ставитися до будь-якої публікованої інформації
Офіційні джерела
- Сайти та офіційні групи оперативних штабів у регіонах
Якщо ви мешкаєте не в Росії, зверніться до аналогічних сайтів вашої країни.
Мийте руки, бережіть близьких, по можливості залишайтеся вдома та працюйте віддалено.Читати публікації про: |
Слід зазначити, що нових загроз, пов'язаних з коронавірусом, сьогодні немає. Швидше йдеться про вже стали традиційними вектори атак, які просто використовуються під новим «соусом». Отже, ключовими типами загроз я назвав би:
- фішингові сайти та розсилки на тему коронавірусу та пов'язаний з ними шкідливий код
- шахрайство та дезінформація, спрямовані на експлуатацію страху або неповноту інформації про COVID-19
- атаки проти організацій, які займаються дослідженнями коронавірусу
У Росії, де громадяни традиційно не довіряють владі і вважають, що ті приховують від них правду, ймовірність успішного «просування» фішингових сайтів і розсилок, а також шахрайських ресурсів набагато вища, ніж у країнах з більш відкритою владою. Хоча сьогодні ніхто не може вважати себе абсолютно захищеним від творчо налаштованих кібершахраїв, які використовують усі класичні людські слабкості людини — страх, співчуття, жадібність тощо.
Візьмемо, наприклад, шахрайський сайт, який торгує медичними масками.
Схожий сайт, CoronavirusMedicalkit[.]com був закритий владою США за безкоштовне розповсюдження неіснуючої вакцини від COVID-19 з оплатою лише поштових витрат на відправку ліків. В даному випадку, за такої невисокої ціни, розрахунок був на ажіотажний попит на ліки в умовах панічних настроїв у США.
Це не класична кіберзагроза, тому що завдання зловмисників у даному випадку полягає не в зараженні користувачів і не в крадіжці їх персональних даних чи ідентифікаційної інформації, а просто на хвилі страху змусити розщедритися та купити медичні маски за завищеними цінами в 5-10-30 разів що перевищують реальну вартість. Але сама ідея створення фальшивого сайту, який експлуатує тему коронавірусу, цілком застосовується і кіберзлочинцями. Наприклад, ось сайт, у назві якого є ключове слово «covid19», але який при цьому є фішинговим.
Взагалі, щодня монітор наш сервіс розслідування інцидентів бачиш, наскільки створюється багато доменів, у назві яких є слова covid, covid19, coronavirus і т.п. І багато хто з них є шкідливими.
В умовах, коли частина співробітників компанії переводиться на роботу з дому і вони не перебувають під захистом корпоративних засобів захисту, як ніколи важливо моніторити ресурси, доступ до яких здійснюється з мобільних та стаціонарних пристроїв працівників, усвідомлено або без їхнього відома. Якщо ви не використовуєте сервіс для виявлення та блокування таких доменів (а Cisco зараз безкоштовне підключення до цього сервісу), то як мінімум налаштуйте свої рішення щодо моніторингу Web-доступу на контроль доменів з відповідними ключовими словами. При цьому пам'ятайте, що традиційний підхід щодо внесення доменів у чорні списки, а також використання репутаційних баз, може давати збій, оскільки шкідливі домени створюються дуже швидко і використовуються лише в 1-2 атаках не довше кількох годин, потім зловмисники перемикаються на нові. домени одноденки. ІБ-компанії просто не встигають оперативно оновлювати свої бази знань та розповсюджувати їх по всіх своїх клієнтах.
Дуже активно зловмисники продовжують експлуатувати канал електронної пошти для поширення фішингових посилань та шкідливих програм у вкладеннях. І ефективність їх досить висока, оскільки користувачі, отримуючи і цілком легальні розсилки новин про коронавірус, не завжди в їх обсязі можуть розпізнати і щось шкідливе. І поки кількість заражених тільки зростає, спектр таких загроз також зростатиме.
Наприклад, ось так виглядає приклад фішингової розсилки від імені центру контролю за поширенням епідемій (CDC):
Перехід за посиланням звичайно веде не на сайт CDC, а на фальшиву сторінку, яка краде логін та пароль жертви:
А ось приклад фішингового розсилання нібито від імені Всесвітньої організації охорони здоров'я:
А в даному прикладі зловмисники розраховують на те, що багато людей вважають, що влада від них приховує справжні масштаби зараження, і тому користувачі з радістю і майже не замислюючись кликають по таких листах зі шкідливими посиланнями або вкладеннями, які нібито розкриють всі таємниці.
До речі, є такий сайт , що дозволяє відстежувати різні показники, наприклад, смертність, число курців, населення різних країнах тощо. Є на сайті і сторінка, присвячена коронавірусу. І ось коли я зайшов на нього 16-го березня, я побачив сторінку, яка на хвилинку змусила мене засумніватися в тому, що влада говорить нам правду (я не знаю, в чому причина таких цифр, можливо, просто помилка):
Однією з найпопулярніших інфраструктур, які використовують зловмисники для розсилки схожих листів, є Emotet, одна з найнебезпечніших і найпопулярніших загроз останнього часу. Документи Word, вкладені у повідомлення електронної пошти, містять завантажувачі Emotet, які підвантажують на комп'ютер жертви нові шкідливі модулі. Спочатку Emotet використовувався для просування посилань на шахрайські сайти, що торгують медичними масками, та орієнтувався на жителів Японії. Нижче ви бачите результат аналізу шкідливого файлу за допомогою пісочниці , що аналізує файли на шкідливість
Але зловмисники експлуатують не тільки можливість запуску в MS Word, але і в інших додатках компанії Microsoft, наприклад, в MS Excel (так діяло хакерське угруповання APT36), що розсилає рекомендації щодо боротьби з коронавірусом від Уряду Індії, що містять Crimson RAT:
Ще однією шкідливою кампанією, що експлуатує тему коронавірусу, є Nanocore RAT, яка дозволяє встановити на комп'ютери жертви програми для віддаленого доступу, що перехоплює натискання на клавіатуру, захоплення зображень екрану, доступ до файлів і т.п.
І доставляється Nanocore RAT зазвичай електронною поштою. Наприклад, нижче ви бачите приклад поштового повідомлення з вкладеним архівом ZIP, який містить PIF-файл, що виконується. Клікнувши на файл жертва сама встановлює на свій комп'ютер програму віддаленого доступу (Remote Access Tool, RAT).
А ось ще один приклад кампанії, яка паразитує на темі COVID-19. Користувач отримує лист про нібито затримку доставки через коронавірус з вкладеним рахунком з розширенням .pdf.ace. Усередині стиснутого архіву знаходиться контент, що виконується, який встановлює з'єднання з командним сервером для отримання додаткових команд і виконання інших цілей зловмисників.
Такий функціонал є у Parallax RAT, який розповсюджує файл з ім'ям "new infected CORONAVIRUS sky 03.02.2020.pif" і який встановлює шкідливу програму, що взаємодіє зі своїм командним сервером за протоколом DNS. Боротися з такими програмами віддаленого доступу допоможуть засоби захисту класу EDR, прикладом якого є , а відстежувати комунікації з командними серверами допоможе або NGFW (наприклад, ), або засоби моніторингу DNS (наприклад, ).
У прикладі нижче шкідлива програма для віддаленого доступу встановлювалася на комп'ютер жертви, яка з якихось невідомих причин купилася на рекламу, яка свідчить, що звичайна антивірусна програма, що встановлюється на ПК, може захистити від COVID-19. Адже хтось повівся на такий, здавалося б, жарт.
Але серед шкідливих програм зустрічаються і справді дивні речі. Наприклад, файли-жарти, які емулюють роботу шифрувальників. В одному випадку наш підрозділ Cisco Talos файл з ім'ям CoronaVirus.exe, який блокуватиме екран під час виконання і запускав таймер і напис «видалення всіх файлів та папок на цьому комп'ютері — коронавірус».
По завершенні відліку кнопка внизу ставала активною і при її натисканні виводилося таке повідомлення, що все це було жартом і треба натиснути Alt+F12 для завершення програми.
Боротьба зі шкідливими розсилками може бути автоматизована, наприклад, за допомогою , який дозволяє виявляти не тільки шкідливий вміст у вкладеннях, але й відстежувати фішингові посилання та кліки за ними. Але навіть у цьому випадку варто не забувати про навчання користувачів та регулярне проведення фішингових симуляцій та кіберучень, які дозволять підготувати користувачів до різних хитрощів зловмисників, спрямованих проти ваших користувачів. Особливо якщо вони працюють віддалено і через їхню особисту пошту шкідливий код може проникнути і в корпоративну або відомчу мережу. Тут я міг би порекомендувати нове рішення , Що дозволяє не тільки проводити мікро-і нано-навчання персоналу з питань ІБ, а й організовувати фішингові симуляції для них.
Але якщо з якихось причин ви не готові до використання таких рішень, то варто, як мінімум, організувати звичайні поштові розсилки по своїх співробітниках із нагадуванням фішингової небезпеки, її прикладами та списком правил безпечної поведінки (головне, щоб зловмисники не стали маскуватися під них) ). До речі, один із можливих ризиків в даний час — це фішингові розсилки, що маскуються під листи від вашого керівництва, в яких нібито йдеться про нові правила та процедури віддаленої роботи, обов'язкове ПЗ, яке треба встановити на віддалені комп'ютери тощо. І не забувайте, що окрім електронної пошти, кіберзлочинці можуть задіяти месенджери та соцмережі.
У такого роду розсилки або програму підвищення обізнаності можна включити і приклад, що вже став класикою, з фальшивою картою зараження коронавірусом, яка була схожа з тією, що університетом Джона Хопкінса. Відмінністю було те, що при доступі до фішингового сайту на комп'ютер користувача встановлювалося шкідливе програмне забезпечення, яке крало облікову інформацію користувачів і надсилало кіберзлочинцям. Один із різновидів такої програми також створював RDP-з'єднання для віддаленого доступу до комп'ютера жертви.
До речі, про RDP. Це ще один вектор для атак, які починають активніше використовувати зловмисники під час пандемії коронавірусу. Багато компаній при переході на віддалену роботу використовують такі сервіси, як RDP, що при їх некоректному через поспіх налаштування може призвести до проникнення зловмисників як на віддалені комп'ютери користувачів, так і всередину корпоративної інфраструктури. Тим більше, що навіть при коректному налаштуванні, в різних реалізаціях RDP можуть бути вразливі зловмисники. Наприклад, Cisco Talos множинні вразливості у FreeRDP, а в службі віддаленого робочого столу Miscrosoft у травні минулого року була виявлена критична вразливість CVE-2019-0708, яка дозволяла виконувати на комп'ютері жертви довільний код, впроваджувати шкідливе програмне забезпечення тощо. Бюлетень про неї поширював навіть , а, наприклад, Cisco Talos рекомендації щодо захисту від неї.
Є й інший приклад експлуатації теми коронавірусу — реальна загроза зараження сім'ї жертви у разі відмови від оплати викупу в биткойнах. Для посилення ефекту, для надання письма значущості та створення почуття всесильності здирника, в текст листа було вставлено пароль жертви від одного з його облікових записів, отриманих із загальнодоступних баз даних логінів та паролів.
В одному з прикладів вище я показав фішингове повідомлення Всесвітньої організації охорони здоров'я. А ось інший приклад, в якому у користувачів просять фінансової допомоги для боротьби з COVID-19 (правда в заголовку в тілі листи відразу впадає в око помилка в слові «DONATIONTION». І допомогу просять у биткойнах для захисту від відстеження криптовалюти.
І таких прикладів, які експлуатують співчуття користувачів, сьогодні чимало:
Біткойни пов'язані з COVID-19 та іншим способом. Наприклад, ось так виглядають розсилки, отримані багатьма громадянами Великобританії, які сидять по домівках і не можуть заробляти гроші (у Росії це зараз теж стане актуальним).
Маскуючись під відомі газети та сайти новин, ці розсилки пропонують легкий заробіток — майнінг криптовалют на спеціальних сайтах. Насправді, через якийсь час ви отримуєте повідомлення про те, що зароблена вами сума може бути виведена на спеціальний рахунок, але вам необхідно перевести невелику суму податків перед цим. Зрозуміло, що, отримавши ці гроші, шахраї у відповідь нічого не переводять, а довірливий користувач втрачає переведені гроші.
Зі Всесвітньою організацією охорони здоров'я пов'язана і ще одна загроза. Хакери зламували налаштування DNS маршрутизаторів D-Link і Linksys, що часто використовуються домашніми користувачами та невеликими компаніями, з метою перенаправлення їх на фальшивий сайт з попередженням про необхідність встановлення програми ВООЗ, яка дозволить бути завжди в курсі щодо останніх новин про коронавірус. При цьому сам додаток містив шкідливу програму Oski, яка краде інформацію.
Подібну ідею з додатком, що містить актуальний статус із зараження COVID-19, експлуатує і Android-троян CovidLock, що розповсюджується через додаток, який, нібито, «сертифікований» Міністерством освіти США, ВООЗ та Центром контролю та поширення епідемій (CDC).
Багато користувачів сьогодні перебувають у самоізоляції і, не бажаючи чи не вміючи готувати, активно користуються сервісами доставки їжі, продуктів чи інших товарів, наприклад туалетного паперу. Зловмисники освоїли і цей вектор у своїх цілях. Наприклад, ось так виглядає шкідливий сайт, схожий на легальний ресурс, що належить «Пошти Канади». Посилання із SMS, отримане жертвою, веде на сайт, який повідомляє, що замовлений товар не може бути доставлений, оскільки не вистачає лише 3 доларів, які й треба доплатити. При цьому користувач прямує на сторінку, де треба вказати деталі своєї кредитки ... з усіма наслідками, що звідси випливають.
Насамкінець хотілося б навести ще два приклади кіберзагроз, пов'язаних з COVID-19. Наприклад, плагіни COVID-19 Coronavirus - Live Map WordPress Plugin, Coronavirus Spread Prediction Graphs або Covid-19 вбудовуються в сайти на популярному движку WordPress і разом з відображенням карти поширення коронавірусу також містять шкідливу програму WP-VCD. А компанія Zoom, яка на хвилі зростання кількості онлайн-заходів стала дуже і дуже популярною зіткнулася з тим, що експерти назвали «Zoombombing». Зловмисники, а насправді звичайні порнотролі, підключалися до онлайн-чатів та онлайн-зустріч і демонстрували різні непристойні відеоролики. До речі, подібна загроза трапляється сьогодні й у російських компаній.
Думаю, більшість із нас регулярно перевіряє різні ресурси, як офіційні, так і не дуже, що розповідають про поточний статус пандемії. Зловмисники експлуатують цю тему, пропонуючи нам «найсвіжішу» інформацію про коронавірус, включаючи й відомості, «які від вас приховують владу». Але навіть звичайні рядові користувачі останнім часом часто допомагають зловмисникам, розсилаючи якоди перевірені факти від «знайомих» та «друзів». Психологи кажуть, що така активність користувачів-«панікерів», які розсилають усе, що потрапляє в їхнє поле зору (особливо в соцмережах та месенджерах, які не мають механізмів захисту від таких загроз), дозволяє їм почуватися залученими до боротьби зі світовою загрозою та навіть відчувати себе героями, які рятують світ від коронавірусу. Але, на жаль, відсутність спеціальних знань призводить до того, що ці добрі наміри «ведуть усіх у пекло», створюючи нові загрози кібербезпеці та розширюючи кількість жертв.
Насправді я міг би ще продовжувати приклади кіберзагроз, пов'язані з коронавірусом; тим більше, що кіберзлочинці не стоять на місці і вигадують нові і нові способи експлуатації пристрастей людських. Але гадаю на цьому можна зупинитися. Картина і так зрозуміла і вона підказує нам, що найближчим часом ситуація лише погіршуватиметься. Вчора влада Москви перевела місто з десятимільйонним населенням на самоізоляцію. Теж зробила влада Підмосков'я та багатьох інших регіонів Росії, а також наших найближчих сусідів за колишнім пострадянським простором. А значить, кількість потенційних жертв, на яких будуть спрямовані зусилля кіберзлочинців, зросте багаторазово. Тому варто не лише переглянути свою стратегію безпеки, донедавна орієнтовану на захист лише корпоративної чи відомчої мережі, та оцінити, яких засобів захисту вам не вистачає, а й врахувати наведені приклади у вашій програмі підвищення обізнаності персоналу, яка стає важливою частиною системи забезпечення ІБ. для віддалених працівників. А готова допомогти вам у цьому!
ЗИ. Під час підготовки даного матеріалу були використані матеріали Cisco Talos, компаній «Naked Security», «Антифішинг», «Malwarebytes Lab», «ZoneAlarm», «Reason Security» та «RiskIQ», Міністерства юстиції США, ресурсів Bleeping Computer, SecurityAffairs тощо. п.
Джерело: habr.com