Koronavirus mavzusi bugungi kunda barcha yangiliklar lentalarini to'ldirdi, shuningdek, COVID-19 va u bilan bog'liq bo'lgan barcha narsalardan foydalanadigan kiberjinoyatchilarning turli faoliyati uchun asosiy leytmotivga aylandi. Ushbu eslatmada men bunday zararli faoliyatning ba'zi misollariga e'tibor qaratmoqchiman, bu, albatta, ko'plab axborot xavfsizligi mutaxassislari uchun sir emas, lekin ularning qisqarishi bir eslatmada o'z tadbirlaringizni tayyorlashni osonlashtiradi. ba'zilari masofadan turib ishlaydigan va har xil kiberxavfsizlik tahdidlariga avvalgidan ko'ra ko'proq moyil bo'lgan xodimlar o'rtasida xabardorlikni oshirish.
NUJdan bir daqiqalik g'amxo'rlik
Dunyo rasman SARS-CoV-19 koronavirusi (2-nCoV) keltirib chiqaradigan potentsial og'ir o'tkir respirator infeksiya bo'lgan COVID-2019 pandemiyasini e'lon qildi. Habré-da ushbu mavzu bo'yicha juda ko'p ma'lumotlar mavjud - har doim esda tutingki, u ishonchli / foydali va aksincha bo'lishi mumkin.
Biz sizni har qanday chop etilgan ma'lumotga tanqidiy munosabatda bo'lishingizni tavsiya qilamiz.
Rasmiy manbalar
- Hududlardagi tezkor shtablarning veb-saytlari va rasmiy guruhlari
Agar siz Rossiyada yashamasangiz, mamlakatingizdagi shunga o'xshash saytlarga murojaat qiling.
Qo'lingizni yuving, yaqinlaringizga g'amxo'rlik qiling, iloji bo'lsa uyda qoling va masofadan turib ishlang.Haqida nashrlarni o'qing: |
Shuni ta'kidlash kerakki, bugungi kunda koronavirus bilan bog'liq mutlaqo yangi tahdidlar mavjud emas. To'g'rirog'i, biz allaqachon an'anaviy bo'lib qolgan, oddiygina yangi "sosda" ishlatiladigan hujum vektorlari haqida gapiramiz. Shunday qilib, men tahdidlarning asosiy turlarini chaqiraman:
- Koronavirus va tegishli zararli kodlar mavzusidagi fishing saytlari va pochta jo'natmalari
- Qoʻrquv yoki COVID-19 haqida notoʻgʻri maʼlumotlardan foydalanish uchun firibgarlik va dezinformatsiya
- koronavirus tadqiqotlari bilan shug'ullanadigan tashkilotlarga hujumlar
Fuqarolar an'anaviy ravishda rasmiylarga ishonmaydigan va haqiqatni ulardan yashirayotganiga ishonadigan Rossiyada fishing saytlari va pochta ro'yxatlarini, shuningdek, firibgar resurslarni muvaffaqiyatli "targ'ib qilish" ehtimoli ochiqroq vakolatlarga ega bo'lgan mamlakatlarga qaraganda ancha yuqori. Garchi bugungi kunda hech kim o'zini insonning barcha klassik insoniy zaif tomonlari - qo'rquv, rahm-shafqat, ochko'zlik va boshqalardan foydalanadigan ijodiy kiber-firibgarlardan mutlaqo himoyalangan deb hisoblay olmaydi.
Masalan, tibbiy niqoblar sotuvchi firibgar saytni olaylik.
Shunga o'xshash CoronavirusMedicalkit[.]com sayti AQSh rasmiylari tomonidan mavjud bo'lmagan COVID-19 vaktsinasini dori-darmonlarni jo'natish uchun "faqat" pochta to'lovi bilan bepul tarqatgani uchun yopildi. Bunday holda, bunday past narx bilan hisob-kitob AQShda vahima sharoitida dori-darmonlarga bo'lgan shoshilinch talab uchun edi.
Bu klassik kibertahdid emas, chunki bu holda tajovuzkorlarning vazifasi foydalanuvchilarni yuqtirish va ularning shaxsiy ma'lumotlari yoki identifikatsiya ma'lumotlarini o'g'irlash emas, balki shunchaki qo'rquv to'lqini ostida ularni vilkadan chiqarishga va tibbiy niqoblar sotib olishga majbur qilishdir. narxlarni real qiymatdan 5-10-30 baravar oshirdi. Ammo koronavirus mavzusidan foydalangan holda soxta veb-sayt yaratish g'oyasi kiberjinoyatchilarga ham tegishli. Misol uchun, bu erda o'z nomida "covid19" kalit so'ziga ega bo'lgan sayt, lekin u ham fishing sayti.
Umuman olganda, voqealarni tergov qilish xizmatini har kuni kuzatib boramiz , nomlarida covid, covid19, coronavirus va hokazo soʻzlar bilan qancha domenlar yaratilayotganini koʻrasiz. Va ularning ko'plari zararli.
Kompaniya xodimlarining bir qismi uydan ishlashga o'tkaziladigan va ular korporativ himoya vositalari bilan himoyalanmagan muhitda, xodimlarning mobil va statsionar qurilmalaridan ongli ravishda yoki bilmagan holda foydalaniladigan resurslarni kuzatish har qachongidan ham muhimroqdir. Agar siz xizmatdan foydalanmasangiz bunday domenlarni aniqlash va blokirovka qilish (va Cisco Endi ushbu xizmatga bepul ulanish), keyin hech bo'lmaganda tegishli kalit so'zlar bilan domenlarni boshqarish uchun Internetga kirish monitoringi yechimlarini sozlang. Shu bilan birga, domenlarni qora ro'yxatga kiritishning an'anaviy yondashuvi, shuningdek, obro'-e'tibor ma'lumotlar bazalaridan foydalanish muvaffaqiyatsiz bo'lishi mumkinligini yodda tuting, chunki zararli domenlar juda tez yaratiladi va bir necha soatdan ko'p bo'lmagan vaqt davomida atigi 1-2 hujumda qo'llaniladi, shundan so'ng. tajovuzkorlar yangilariga o'tishadi.bir kunlik domenlar. Axborot xavfsizligi kompaniyalari o'zlarining bilim bazalarini tezda yangilashga va ularni barcha mijozlariga tarqatishga vaqtlari yo'q.
Buzg'unchilar elektron pochta kanalidan fishing havolalari va qo'shimchalardagi zararli dasturlarni tarqatish uchun faol foydalanishda davom etmoqdalar. Va ularning samaradorligi ancha yuqori, chunki foydalanuvchilar koronavirus haqida to'liq qonuniy xabarlarni olayotganda, har doim ham ularning hajmida zararli narsalarni taniy olmaydilar. Va kasallanganlar soni tobora ortib borayotgan bo'lsa-da, bunday tahdidlar doirasi ham o'sib boradi.
Masalan, Kasalliklarni nazorat qilish va oldini olish markazlari (CDC) nomidan yuborilgan fishing elektron pochtasiga misol:
Havolani bosish, albatta, CDC veb-saytiga emas, balki qurbonning login va parolini o'g'irlaydigan soxta sahifaga olib keladi:
Va bu erda Jahon sog'liqni saqlash tashkilotiga tegishli bo'lgan fishing elektron pochtasiga misol:
Va bu misolda, tajovuzkorlar ko'pchilik rasmiylar infektsiyaning asl hajmini ulardan yashirayotganiga ishonishadi va shuning uchun foydalanuvchilar xursand bo'lishadi va deyarli ikkilanmasdan zararli havolalar yoki qo'shimchalar bilan ushbu turdagi xatlarni bosishadi. Bu barcha sirlarni ochib beradi.
Aytgancha, sayt mavjud , bu sizga turli ko'rsatkichlarni, masalan, o'lim, chekuvchilar soni, turli mamlakatlardagi aholi va boshqalarni kuzatish imkonini beradi. Saytda koronavirusga bag'ishlangan sahifa ham mavjud. Va 16 mart kuni unga borganimda, men bir lahzaga rasmiylar bizga haqiqatni gapirayotganiga shubha qilgan sahifani ko'rdim (bunday raqamlarning sababi nima ekanligini bilmayman, ehtimol xato):
Hujumchilar shunga o'xshash elektron pochta xabarlarini yuborish uchun foydalanadigan mashhur infratuzilmalardan biri bu Emotet bo'lib, so'nggi paytlarning eng xavfli va mashhur tahdidlaridan biridir. Elektron pochta xabarlariga biriktirilgan Word hujjatlarida jabrlanuvchining kompyuteriga yangi zararli modullarni yuklab oladigan Emotet yuklovchilari mavjud. Dastlab, Emotet Yaponiyada tibbiy niqoblar va maqsadli odamlarni sotadigan firibgar saytlarga havolalarni targ'ib qilish uchun ishlatilgan. Quyida siz qum qutisi yordamida zararli faylni tahlil qilish natijasini ko'rishingiz mumkin. , bu fayllarni zararli uchun tahlil qiladi.
Ammo tajovuzkorlar nafaqat MS Word-da, balki Microsoft-ning boshqa ilovalarida, masalan, MS Excel-da (APT36 xakerlar guruhi shunday harakat qildi), Hindiston hukumatidan Crimson RAT-ni o'z ichiga olgan koronavirusga qarshi kurash bo'yicha tavsiyalar yuborish imkoniyatidan foydalanadilar. :
Koronavirus mavzusidan foydalanadigan yana bir zararli kampaniya - bu Nanocore RAT bo'lib, u uzoqdan kirish, klaviatura zarbalarini ushlab turish, ekran tasvirlarini olish, fayllarga kirish va h.k. uchun jabrlanuvchi kompyuterlariga dasturlarni o'rnatish imkonini beradi.
Va Nanocore RAT odatda elektron pochta orqali yetkaziladi. Misol uchun, quyida siz bajariladigan PIF faylini o'z ichiga olgan ZIP arxivi bilan pochta xabarining namunasini ko'rasiz. Bajariladigan faylni bosish orqali jabrlanuvchi o'z kompyuteriga masofaviy kirish dasturini (Remote Access Tool, RAT) o'rnatadi.
Va bu erda COVID-19 mavzusidagi kampaniya parazitiga yana bir misol. Foydalanuvchi .pdf.ace kengaytmasi bilan biriktirilgan hisob-faktura bilan koronavirus tufayli yetkazib berish kechikishi haqida e-pochta orqali xabar oladi. Siqilgan arxiv ichida qo'shimcha buyruqlarni qabul qilish va tajovuzkorlarning boshqa maqsadlarini bajarish uchun buyruq va boshqaruv serveri bilan aloqa o'rnatadigan bajariladigan tarkib mavjud.
Parallax RAT ham xuddi shunday funksiyaga ega, u “yangi zararlangan CORONAVIRUS sky 03.02.2020.pif” nomli faylni tarqatadi va DNS protokoli orqali uning buyruq va boshqaruv serveri bilan oʻzaro aloqada boʻladigan zararli dasturni oʻrnatadi. Bunday masofaviy kirish dasturlari bilan kurashish uchun EDR sinfidagi himoya vositalari yordam beradi, bunga misol bo'la oladi , va NGFW (masalan, ) yoki DNS monitoring vositalari (masalan, ).
Quyidagi misolda, noma'lum sabablarga ko'ra, shaxsiy kompyuterda o'rnatilgan oddiy antivirus dasturi haqiqiy COVID-19 dan himoya qilishi mumkinligi haqida reklama sotib olgan jabrlanuvchining kompyuteriga masofaviy kirish uchun zararli dastur o'rnatilgan. Va nihoyat, kimdir shunday tuyulgan hazilga tushib qoldi.
Ammo zararli dasturlar orasida haqiqatan ham g'alati narsalar mavjud. Masalan, ransomware ishini taqlid qiluvchi hazil fayllari. Bir holatda, bizning Cisco Talos bo'limimiz CoronaVirus.exe nomli fayl, u ijro paytida ekranni to'sib qo'ydi va taymer va "ushbu kompyuterdagi barcha fayl va papkalarni o'chirish - koronavirus" yozuvini ishga tushirdi.
Ortga hisoblash tugagach, pastdagi tugma faollashdi va bosilganda, hammasi hazil ekanligi va dasturni tugatish uchun Alt + F12 tugmalarini bosish kerakligi haqida quyidagi xabar paydo bo'ldi.
Zararli pochta jo'natmalariga qarshi kurashni avtomatlashtirish mumkin, masalan, foydalanish , bu sizga nafaqat qo'shimchalardagi zararli tarkibni aniqlash, balki fishing havolalari va ularga bosishlarni kuzatish imkonini beradi. Ammo bu holatda ham foydalanuvchilarni o'qitish va muntazam ravishda fishing simulyatsiyalari va foydalanuvchilarni foydalanuvchilarga qarshi qaratilgan turli xil tajovuzkorlarning hiylalariga tayyorlaydigan kiber mashqlarni unutmaslik kerak. Ayniqsa, agar ular masofadan turib va shaxsiy pochta orqali ishlasa, zararli kod korporativ yoki idoraviy tarmoqqa ham kirishi mumkin. Bu erda men yangi yechimni tavsiya qilishim mumkin , bu nafaqat axborot xavfsizligi masalalari bo'yicha xodimlarni mikro va nano-treningni o'tkazish, balki ular uchun fishing simulyatsiyalarini tashkil qilish imkonini beradi.
Ammo, agar biron sababga ko'ra siz bunday echimlardan foydalanishga tayyor bo'lmasangiz, unda siz hech bo'lmaganda o'z xodimlaringizga fishing xavfi, uning misollari va xavfsiz xatti-harakatlar qoidalari ro'yxatini eslatuvchi muntazam pochta jo'natmalarini tashkil qilishingiz kerak (asosiysi, tajovuzkorlar buni amalga oshiradilar. o'zlarini ular sifatida yashirmang). Aytgancha, hozirgi vaqtda yuzaga kelishi mumkin bo'lgan xavflardan biri bu sizning rahbariyatingizning maktublari sifatida yashiringan fishing jo'natmalari bo'lib, ular go'yoki masofaviy ishlashning yangi qoidalari va tartiblari, masofaviy kompyuterlarga o'rnatilishi kerak bo'lgan majburiy dasturiy ta'minot va boshqalar haqida gapiradi. Shuni ham unutmangki, kiberjinoyatchilar elektron pochtadan tashqari tezkor messenjerlar va ijtimoiy tarmoqlardan ham foydalanishlari mumkin.
Ushbu turdagi pochta ro'yxati yoki xabardorlik dasturiga siz soxta koronavirus infektsiyasi xaritasining klassik namunasini kiritishingiz mumkin, bu xaritaga o'xshash edi. Jons Xopkins universiteti. Farq fishing saytiga kirishda foydalanuvchining kompyuteriga zararli dastur o'rnatilgan bo'lib, u foydalanuvchi hisobi ma'lumotlarini o'g'irlab, kiberjinoyatchilarga yuborgan. Bunday dasturning bir versiyasi qurbonning kompyuteriga masofadan kirish uchun RDP ulanishlarini ham yaratdi.
Aytgancha, RDP haqida. Bu tajovuzkorlar koronavirus pandemiyasi davrida faolroq foydalana boshlagan hujumlar uchun yana bir vektor. Ko'pgina kompaniyalar masofaviy ishlashga o'tayotganda, RDP kabi xizmatlardan foydalanadilar, agar ular shoshqaloqlik tufayli noto'g'ri sozlangan bo'lsa, buzg'unchilarning ham uzoq foydalanuvchi kompyuterlariga, ham korporativ infratuzilma ichiga kirib borishiga olib kelishi mumkin. Bundan tashqari, hatto to'g'ri konfiguratsiya bo'lsa ham, turli RDP dasturlarida tajovuzkorlar tomonidan foydalaniladigan zaifliklar bo'lishi mumkin. Masalan, Cisco Talos FreeRDP-da bir nechta zaifliklar va o'tgan yilning may oyida Microsoft Remote Desktop xizmatida CVE-2019-0708 tanqidiy zaifligi aniqlangan bo'lib, u jabrlanuvchining kompyuterida o'zboshimchalik bilan kodni bajarishga, zararli dasturlarni kiritishga va hokazolarga imkon berdi. Hatto u haqida axborot byulleteni ham tarqatildi , va, masalan, Cisco Talos undan himoya qilish bo'yicha tavsiyalar.
Koronavirus mavzusini ekspluatatsiya qilishning yana bir misoli bor - bitkoinlarda to'lovni to'lashdan bosh tortgan taqdirda qurbonning oilasiga infektsiyaning haqiqiy tahdidi. Effektni kuchaytirish, xatga ahamiyat berish va tovlamachining qudrati tuyg'usini yaratish uchun xat matniga jabrlanuvchining login va parollarning umumiy ma'lumotlar bazasidan olingan akkauntlaridan birining paroli kiritildi.
Yuqoridagi misollardan birida men Jahon sog'liqni saqlash tashkilotining fishing xabarini ko'rsatdim. Mana yana bir misol, unda foydalanuvchilardan COVID-19 ga qarshi kurashish uchun moliyaviy yordam so‘raladi (garchi maktubning sarlavhasida “DONATION” so‘zidagi xato darhol e’tiborni tortadi. Va ular bitkoinlarda yordam so‘rashadi. cryptocurrency kuzatish qarshi himoya qilish uchun.
Bugungi kunda foydalanuvchilarning rahm-shafqatidan foydalanadigan ko'plab misollar mavjud:
Bitcoins boshqa yo'l bilan COVID-19 bilan bog'liq. Misol uchun, uyda o'tirgan va pul ishlay olmaydigan ko'plab Britaniya fuqarolari tomonidan qabul qilingan pochta jo'natmalari shunday ko'rinadi (hozir Rossiyada bu ham dolzarb bo'lib qoladi).
Taniqli gazetalar va yangiliklar saytlari sifatida niqoblangan ushbu pochta ro'yxatlari maxsus saytlarda kriptovalyutalarni qazib olish orqali pul ishlashning oson yo'lini taklif etadi. Darhaqiqat, bir muncha vaqt o'tgach, siz ishlagan summani maxsus hisob raqamiga olib qo'yish mumkinligi haqida xabar olasiz, ammo bundan oldin siz oz miqdordagi soliqlarni o'tkazishingiz kerak. Ko'rinib turibdiki, bu pulni olgan firibgarlar javoban hech narsa o'tkazmaydilar va ishonuvchan foydalanuvchi o'tkazilgan pulni yo'qotadi.
Jahon sog'liqni saqlash tashkiloti bilan bog'liq yana bir tahdid mavjud. Xakerlar uy foydalanuvchilari va kichik korxonalar tomonidan keng tarqalgan D-Link va Linksys routerlarining DNS sozlamalarini buzib, so‘nggi yangiliklardan xabardor bo‘lish uchun JSST ilovasini o‘rnatish haqida qalqib chiquvchi ogohlantirish bilan soxta saytga yo‘naltirishdi. koronavirus haqida. Shu bilan birga, dasturning o'zida ma'lumotni o'g'irlaydigan Oski zararli dasturi mavjud edi.
COVID-19 infektsiyasi bo'yicha so'nggi ma'lumotni o'z ichiga olgan ilovaga o'xshash g'oyadan CovidLock Android troyanidan foydalaniladi, u go'yoki AQSh Ta'lim Departamenti, JSST va Markazlar tomonidan "sertifikatlangan" ilova orqali tarqaladi. Kasalliklarni nazorat qilish va oldini olish (CDC).
Bugungi kunda ko'plab foydalanuvchilar o'zlarini izolyatsiya qilishmoqda va ovqat pishirishni xohlamasliklari yoki bilmasliklari uchun oziq-ovqat etkazib berish xizmatlaridan, oziq-ovqat mahsulotlaridan yoki hojatxona qog'ozi kabi boshqa tovarlardan faol foydalanishmoqda. Hujumchilar ushbu vektorni o'z maqsadlari uchun o'zlashtirgan. Misol uchun, zararli sayt Canada Post kompaniyasiga tegishli qonuniy resursga o'xshaydi. Jabrlanuvchi tomonidan olingan SMS-xabardagi havola buyurtma qilingan tovarlarni etkazib berish mumkin emasligi haqida xabar beradigan veb-saytga olib keladi, chunki qo'shimcha to'lash kerak bo'lgan atigi 3 dollar yo'qolgan. Bunday holda, foydalanuvchi o'z kredit kartasining ma'lumotlarini ko'rsatishi kerak bo'lgan sahifaga yo'naltiriladi ... barcha keyingi oqibatlar bilan.
Xulosa qilib, men COVID-19 bilan bog'liq kiber tahdidlarga yana ikkita misol keltirmoqchiman. Masalan, "COVID-19 Coronavirus - Live Map WordPress plaginlari", "Koronavirus tarqalishini bashorat qilish grafiklari" yoki "Covid-19" plaginlari mashhur WordPress dvigatelidagi saytlarga o'rnatilgan va koronavirus tarqalishi xaritasini ko'rsatish bilan birga, shuningdek, o'z ichiga oladi. WP-VCD zararli dasturi. Onlayn tadbirlar sonining o'sishi ortidan juda mashhur bo'lgan Zoom, mutaxassislar "Zoombombing" deb atagan narsaga duch keldi. Hujumchilar, lekin aslida oddiy porno trollar, onlayn chatlar va onlayn uchrashuvlarga ulangan va turli odobsiz videolarni ko'rsatgan. Aytgancha, xuddi shunday tahdid bugungi kunda Rossiya kompaniyalari tomonidan uchramoqda.
O'ylaymanki, ko'pchiligimiz pandemiyaning hozirgi holati haqida gapiradigan rasmiy va unchalik bo'lmagan turli xil manbalarni muntazam tekshirib turamiz. Hujumchilar ushbu mavzudan foydalanib, bizga koronavirus haqidagi "yangilangan" ma'lumotlarni, shu jumladan "hokimiyat sizdan yashirayotgan" ma'lumotlarni taklif qilmoqda. Ammo oddiy oddiy foydalanuvchilar ham yaqinda tez-tez "tanishlar" va "do'stlar" dan tasdiqlangan faktlarni yuborish orqali hujumchilarga yordam berishdi. Psixologlarning ta'kidlashicha, o'z ko'rish sohasiga tegishli bo'lgan hamma narsani (ayniqsa, ijtimoiy tarmoqlarda va bunday tahdidlardan himoya qilish mexanizmlariga ega bo'lmagan messenjerlarda) jo'natadigan "signalist" foydalanuvchilarning bunday faolligi ularga tahdidlarga qarshi kurashda ishtirok etishlarini his qilishlariga imkon beradi. global tahdid va hatto dunyoni koronavirusdan qutqaruvchi qahramonlar kabi his eting. Ammo, afsuski, maxsus bilimlarning etishmasligi bu ezgu niyatlar barchani "jahannamga olib boradi", kiberxavfsizlikka yangi tahdidlarni keltirib chiqaradi va qurbonlar sonini ko'paytiradi.
Aslida, men koronavirus bilan bog'liq kibertahdidlar misollarini davom ettirishim mumkin edi; ayniqsa, kiberjinoyatchilar bir joyda turmaydilar va inson ehtiroslaridan foydalanishning tobora ko'proq yangi usullarini o'ylab topadilar. Lekin men u erda to'xtashimiz mumkin deb o'ylayman. Rasm allaqachon aniq va u bizga yaqin kelajakda vaziyat faqat yomonlashishini aytadi. Kecha Moskva hukumati o'n million aholisi bo'lgan shaharni o'zini izolyatsiyaga o'tkazdi. Moskva viloyati va Rossiyaning boshqa ko'plab mintaqalari, shuningdek, sobiq postsovet hududidagi eng yaqin qo'shnilarimiz ham shunday qilishdi. Bu shuni anglatadiki, kiberjinoyatchilarning sa'y-harakatlari yo'naltiriladigan potentsial qurbonlar soni bir necha barobar ortadi. Shu sababli, yaqin vaqtgacha faqat korporativ yoki idoraviy tarmoqni himoya qilishga va sizda qanday himoya vositalari yo'qligini baholashga qaratilgan xavfsizlik strategiyangizni qayta ko'rib chiqishga arziydi, balki xodimlarni xabardor qilish dasturida ushbu misollarni ham hisobga oling. masofaviy ishchilar uchun axborot xavfsizligi tizimining bir qismi. A bu borada sizga yordam berishga tayyor!
PS. Ushbu materialni tayyorlashda Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security va RiskIQ kompaniyalari, AQSh Adliya vazirligi, Bleeping Computer resurslari, SecurityAffairs va boshqalar materiallaridan foydalanilgan.
Manba: www.habr.com