Get best of the week

Ausnutzung des Themas Coronavirus bei IS-Bedrohungen

Das Thema des Coronavirus hat heute alle Newsfeeds gefüllt und ist auch zum Hauptleitmotiv für die verschiedenen Aktivitäten von Cyberkriminellen geworden, die das Thema COVID-19 und alles, was damit zusammenhängt, ausnutzen. In diesem Hinweis möchte ich auf einige Beispiele für solche böswilligen Aktivitäten aufmerksam machen, die natürlich für viele Experten für Informationssicherheit kein Geheimnis sind, deren Reduzierung jedoch in einem Hinweis die Vorbereitung ihrer eigenen Sensibilisierungsaktivitäten für Mitarbeiter erleichtert, von denen einige remote und arbeiten anfälliger für verschiedene Bedrohungen der Informationssicherheit als zuvor.

Bild

UFO Care Minute


Die Pandemie COVID-19, eine potenziell schwere akute Atemwegsinfektion, die durch das SARS-CoV-2-Coronavirus (2019-nCoV) verursacht wird, wurde weltweit offiziell angekündigt. Zu diesem Thema gibt es viele Informationen zu Habré - denken Sie immer daran, dass es sowohl zuverlässig / nützlich sein kann als auch umgekehrt.

Wir bitten Sie dringend, veröffentlichte Informationen zu kritisieren.


Offizielle Quellen

Wenn Sie nicht in Russland leben, beziehen Sie sich auf ähnliche Websites in Ihrem Land.

Waschen Sie Ihre Hände, kümmern Sie sich um Ihre Lieben, bleiben Sie wann immer möglich zu Hause und arbeiten Sie aus der Ferne.

Lesen Sie Veröffentlichungen über: coronavirus | Heimarbeit

Es sollte beachtet werden, dass es heute keine völlig neuen Bedrohungen im Zusammenhang mit Coronavirus gibt. Es handelt sich vielmehr um bereits traditionelle Angriffsmethoden, die nur mit einer neuen „Sauce“ verwendet werden. Also, die wichtigsten Arten von Bedrohungen, die ich nennen würde:

  • Coronavirus-Phishing-Sites und Mailings sowie zugehöriger Schadcode
  • Betrug und Fehlinformationen zur Ausnutzung von Angst oder unvollständigen Informationen über COVID-19
  • Angriffe gegen Coronavirus-Forschungseinrichtungen

In Russland, wo die Bürger den Behörden traditionell nicht vertrauen und glauben, dass sie die Wahrheit vor ihnen verbergen, ist die Wahrscheinlichkeit einer erfolgreichen „Werbung“ für Phishing-Websites und Newsletter sowie für betrügerische Ressourcen viel höher als in Ländern mit offeneren Behörden. Obwohl sich heute niemand mehr als absolut geschützt vor kreativ denkenden Cyber-Betrügern betrachten kann, die alle klassischen menschlichen menschlichen Schwächen nutzen - Angst, Mitgefühl, Gier usw.

Nehmen Sie zum Beispiel eine Betrugsseite, auf der medizinische Masken verkauft werden.

Bild

Eine ähnliche Website, CoronavirusMedicalkit [.] Com, wurde von den US-Behörden wegen der kostenlosen Verteilung eines nicht existierenden Impfstoffs gegen COVID-19 geschlossen, wobei „nur“ Porto für den Versand des Arzneimittels gezahlt wurde. In diesem Fall lag die Berechnung zu einem so niedrigen Preis auf der schnellen Nachfrage nach Medikamenten inmitten der Panik in den Vereinigten Staaten.

Bild

Dies ist keine klassische Cyber-Bedrohung, da die Angreifer in diesem Fall nicht die Aufgabe haben, Benutzer zu infizieren und ihre persönlichen Daten oder Identifikationsinformationen nicht zu stehlen, sondern nur aus Angst, sie dazu zu bringen, medizinische Masken zu überhöhten Preisen 5-10-30 Mal zu kaufen den realen Wert überschreiten. Die Idee, eine gefälschte Website zu erstellen, die das Thema Coronavirus ausnutzt, wird aber auch von Cyberkriminellen verwendet. Hier ist beispielsweise eine Site, deren Name das Schlüsselwort "covid19" enthält, bei der es sich jedoch um Phishing handelt.

Bild

Im Allgemeinen wird unser Cisco Umbrella Investigate- Vorfalluntersuchungsdienst täglich überwachtsehen Sie, wie viele Domänen erstellt werden, deren Namen die Wörter covid, covid19, coronavirus usw. enthalten. Und viele von ihnen sind bösartig.

Bild

Unter den Bedingungen, unter denen ein Teil der Mitarbeiter des Unternehmens von zu Hause zur Arbeit versetzt wird und sie nicht durch Unternehmensmittel geschützt sind, ist es wichtiger denn je, Ressourcen, auf die von mobilen und stationären Geräten der Mitarbeiter zugegriffen wird, bewusst oder ohne deren Wissen zu überwachen. Wenn Sie den Cisco Umbrella- Dienst nicht zum Erkennen und Blockieren solcher Domänen (und von Cisco- Angeboten) verwendenjetzt freie Verbindung zu diesem Dienst), konfigurieren Sie dann mindestens Ihre Webzugriffsüberwachungslösungen für die Domänensteuerung mit den entsprechenden Schlüsselwörtern. Denken Sie gleichzeitig daran, dass der traditionelle Ansatz, Domains auf die schwarze Liste zu setzen und Reputationsdatenbanken zu verwenden, fehlschlagen kann, da bösartige Domains sehr schnell erstellt werden und nicht länger als mehrere Stunden in nur 1-2 Angriffen verwendet werden. Dann wechseln die Angreifer zu neuen eintägige Domains. Unternehmen für Informationssicherheit haben einfach keine Zeit, ihre Wissensdatenbanken schnell zu aktualisieren und an alle ihre Kunden zu verteilen.

Angreifer nutzen den E-Mail-Kanal weiterhin aktiv, um Phishing-Links und Malware in Anhängen zu verbreiten. Und ihre Effektivität ist ziemlich hoch, da Benutzer, die rechtmäßige Newsletter über Coronavirus erhalten, möglicherweise nicht immer etwas Schädliches in ihrem Volumen erkennen. Und während die Zahl der Infizierten nur wächst, wird auch das Spektrum solcher Bedrohungen nur noch zunehmen.

Hier ist beispielsweise ein Beispiel für eine Phishing-E-Mail im Auftrag des Epidemic Control Center (CDC):

Bild

Wenn Sie auf den Link klicken, gelangen Sie natürlich nicht zur CDC-Website, sondern zu einer gefälschten Seite, auf der der Benutzername und das Passwort des Opfers gestohlen werden:

Bild

Hier ein Beispiel für eine Phishing-E-Mail, die angeblich im Auftrag von Weltgesundheitsorganisation:

Bild

In diesem Beispiel verlassen sich die Angreifer auf die Tatsache, dass viele Menschen glauben, dass die Behörden das wahre Ausmaß der Infektion vor ihnen verbergen, und daher klicken Benutzer gerne und fast ohne zu zögern auf solche Buchstaben mit böswilligen Links oder Anhängen, die angeblich alle Geheimnisse preisgeben.

Bild

Übrigens gibt es eine solche Worldometer- Website , auf der Sie verschiedene Indikatoren verfolgen können, z. B. Sterblichkeit, Anzahl der Raucher, Bevölkerung in verschiedenen Ländern usw. Es gibt auch eine Seite auf der Website, die dem Coronavirus gewidmet ist. Als ich es am 16. März besuchte, sah ich eine Seite, die mich für einen Moment daran zweifeln ließ, dass die Behörden uns die Wahrheit sagten (ich weiß nicht, was der Grund für diese Zahlen ist, vielleicht nur ein Fehler):

Bild

Eine der beliebtesten Infrastrukturen, mit denen Cyberkriminelle ähnliche E-Mails versenden, ist Emotet, eine der gefährlichsten und beliebtesten Bedrohungen der letzten Zeit. In E-Mail-Nachrichten eingebettete Word-Dokumente enthalten Emotet-Downloader, die neue schädliche Module auf den Computer des Opfers laden. Ursprünglich wurde Emotet verwendet, um Links zu betrügerischen Websites zu bewerben, auf denen medizinische Masken verkauft werden, und richtete sich an Einwohner Japans. Unten sehen Sie das Ergebnis der Analyse von Malware-Dateien mithilfe der Cisco Threat Grid- Sandbox , die Dateien auf Malware analysiert.

Bild

Die Angreifer nutzen jedoch nicht nur die Fähigkeit, in MS Word, sondern auch in anderen Microsoft-Anwendungen, beispielsweise in MS Excel (die Hacker-Gruppe APT36 hat sich so verhalten), auszuführen und senden Empfehlungen zur Bekämpfung des Coronavirus von der indischen Regierung mit Crimson RAT:

Bild

Eine weitere bösartige Kampagne Das Thema Coronavirus wird mit Nanocore RAT ausgenutzt, mit dem Sie Programme für den Fernzugriff auf Computercomputern installieren können, die Tastenanschläge abfangen, Bildschirmbilder erfassen, auf Dateien zugreifen usw.

Bild

Und Nanocore RAT wird normalerweise per E-Mail geliefert. Im Folgenden sehen Sie beispielsweise ein Beispiel für eine E-Mail-Nachricht mit einem angehängten ZIP-Archiv, das eine ausführbare PIF-Datei enthält. Durch Klicken auf die ausführbare Datei installiert das Opfer das Remote Access Tool (RAT) auf seinem Computer.

Bild

Hier ist ein weiteres Beispiel eines Kampagnenparasiten zum Thema COVID-19. Der Benutzer erhält ein Schreiben über die angebliche Verzögerung der Zustellung aufgrund des Coronavirus mit einem angehängten Konto mit der Erweiterung .pdf.ace. Im komprimierten Archiv befinden sich ausführbare Inhalte, die eine Verbindung zum Befehlsserver herstellen, um zusätzliche Befehle zu empfangen und andere Ziele der Angreifer zu erreichen.

Bild

Parallax RAT verfügt über eine ähnliche Funktionalität, die eine Datei mit dem Namen "new infizierte CORONAVIRUS sky 02/03 / 2020.pif" verteilt und ein Schadprogramm installiert, das über das DNS-Protokoll mit seinem Befehlsserver interagiert. Sicherheitstools der EDR-Klasse wie Cisco AMP for Endpoints helfen bei der Bekämpfung solcher RAS- Programme , und NGFW- (z. B. Cisco Firepower ) oder DNS-Überwachungstools (z. B. Cisco Umbrella ) können die Überwachung der Kommunikation mit Befehlsservern unterstützen .

Im folgenden Beispiel wurde die RAS-Malware auf dem Computer des Opfers installiert, die aus einem unbekannten Grund in einer Anzeige gekauft wurde, in der angegeben wird, dass ein reguläres Antivirenprogramm, das auf einem PC installiert ist, vor echtem COVID-19 schützen kann. Und schließlich wurde jemand zu einem solchen scheinbaren Witz geführt.

Bild

Aber unter den Schadprogrammen gibt es auch wirklich seltsame Dinge. Zum Beispiel Scherzdateien, die die Arbeit von Verschlüsselern emulieren. In einem Fall hat unsere Cisco Talos-Abteilung eine Datei namens CoronaVirus.exe entdeckt, die den Bildschirm zur Laufzeit sperrt und einen Timer startet. Die Meldung "Alle Dateien und Ordner auf diesem Computer löschen ist Coronavirus" wird angezeigt.

Bild

Am Ende des Countdowns wurde die Schaltfläche unten aktiv, und als sie gedrückt wurde, wurde die folgende Meldung angezeigt, dass dies alles ein Witz war und Alt + F12 gedrückt werden sollte, um das Programm zu beenden.

Bild

Anti-Malware-Kampagnen können beispielsweise mithilfe von Cisco E-Mail Security automatisiert werdenHiermit können Sie nicht nur schädliche Inhalte in Anhängen erkennen, sondern auch Phishing-Links verfolgen und darauf klicken. Aber auch in diesem Fall sollten Sie Benutzerschulungen und regelmäßige Phishing-Simulationen und Cyber-Tricks nicht vergessen, die Benutzer auf verschiedene Tricks von Cyberkriminellen gegen Ihre Benutzer vorbereiten. Insbesondere wenn sie remote und über ihre persönlichen E-Mails arbeiten, kann bösartiger Code in das Unternehmens- oder Abteilungsnetzwerk eindringen. Hier könnte ich die neue Lösung des Cisco Security Awareness Tool empfehlen , mit der nicht nur Mikro- und Nanotrainings von Mitarbeitern zu Fragen der Informationssicherheit durchgeführt, sondern auch Phishing-Simulationen für diese organisiert werden können.

Wenn Sie jedoch aus irgendeinem Grund nicht bereit sind, solche Lösungen zu verwenden, sollten Sie zumindest regelmäßige Mailinglisten für Ihre Mitarbeiter organisieren, die an die Phishing-Gefahr, ihre Beispiele und eine Liste sicherer Verhaltensregeln erinnern (Hauptsache, die Angreifer verkleiden sich nicht als ) Übrigens besteht eines der möglichen Risiken derzeit in Phishing-Mailings, die als Briefe Ihres Managements getarnt sind und angeblich über neue Regeln und Verfahren für Remote-Arbeiten, obligatorische Software, die auf Remote-Computern installiert werden muss usw. sprechen. Und vergessen Sie nicht, dass Cyberkriminelle neben E-Mail auch Instant Messenger und soziale Netzwerke verwenden können.

Eine Mailingliste oder ein Sensibilisierungsprogramm könnte das klassische Beispiel einer gefälschten Coronavirus-Infektionskarte enthalten, die der von der Johns Hopkins University gestarteten Karte ähnelt . Der Unterschied zwischen der bösartigen Karte bestand darin, dass beim Zugriff auf die Phishing-Site Malware auf dem Computer des Benutzers installiert wurde, die Benutzeranmeldeinformationen stahl und an Cyberkriminelle gesendet wurde. Eine der Varianten eines solchen Programms stellte auch RDP-Verbindungen für den Fernzugriff auf den Computer des Opfers her.

Bild

Apropos RDP. Dies ist ein weiterer Vektor für Angriffe, die Angreifer während der Coronavirus-Pandemie aktiver einsetzen. Bei der Umstellung auf Remote-Arbeit verwenden viele Unternehmen Dienste wie RDP, die, wenn sie aufgrund der Eile bei der Konfiguration nicht korrekt sind, dazu führen können, dass Cyberkriminelle sowohl auf den Remote-Computern des Benutzers als auch in der Unternehmensinfrastruktur eindringen. Darüber hinaus können bei ordnungsgemäßer Konfiguration in verschiedenen RDP-Implementierungen Sicherheitslücken bestehen, die von Cyberkriminellen verwendet werden. Zum Beispiel Cisco Talos entdecktMehrere Sicherheitslücken in FreeRDP und die kritische Sicherheitslücke CVE-2019-0708 wurden im Mai letzten Jahres im Miscrosoft-Remotedesktopdienst entdeckt, wodurch beliebiger Code auf dem Computer des Opfers ausgeführt werden konnte, um Malware einzuführen usw. Ein Newsletter darüber wurde auch durch die verteilte NCCA , und zum Beispiel Cisco Talos veröffentlicht Empfehlungen zum Schutz gegen sie.

Es gibt ein weiteres Beispiel für die Ausnutzung des Themas Coronavirus - die reale Gefahr einer Infektion der Familie des Opfers im Falle der Weigerung, das Lösegeld in Bitcoins zu zahlen. Um den Effekt zu verstärken, dem Brief eine Bedeutung zu verleihen und ein Gefühl der Allmacht der Ransomware zu erzeugen, wurde das Passwort des Opfers aus einem seiner Konten, das aus öffentlich zugänglichen Datenbanken mit Anmeldungen und Passwörtern stammt, in den Text des Briefes eingefügt.

Bild

In einem Beispiel oben habe ich eine Phishing-Nachricht der Weltgesundheitsorganisation gezeigt. Und hier ist ein weiteres Beispiel, in dem Benutzer um finanzielle Unterstützung bei der Bekämpfung von COVID-19 gebeten werden (obwohl der Fehler im Wort „SPENDE“ sofort in der Überschrift im Hauptteil des Briefes ersichtlich ist. Und sie bitten um Hilfe bei Bitcoins zum Schutz vor Kryptowährungsverfolgung.

Bild

Und solche Beispiele Es gibt heutzutage viele Benutzer, die das Mitgefühl der Benutzer ausnutzen:

Bild

Bitcoins sind auf andere Weise mit COVID-19 verbunden. So sehen beispielsweise Mailings aus, die von vielen britischen Bürgern empfangen werden, die zu Hause sitzen und kein Geld verdienen können (in Russland wird dies jetzt auch relevant).

Bild

Diese Newsletter tarnen sich als bekannte Zeitungen und Nachrichtenseiten und bieten leichtes Geld - das Mining von Kryptowährungen auf speziellen Websites. Tatsächlich erhalten Sie nach einiger Zeit eine Nachricht, dass der verdiente Betrag auf ein spezielles Konto abgebucht werden kann. Zuvor müssen Sie jedoch einen kleinen Steuerbetrag überweisen. Es ist klar, dass Betrüger nach Erhalt dieses Geldes nichts als Antwort überweisen und ein leichtgläubiger Benutzer das überwiesene Geld verliert.

Bild

Es gibt eine weitere Bedrohung für die Weltgesundheitsorganisation. Hacker haben die DNS-Einstellungen von D-Link- und Linksys-Routern geknackt, die häufig von Heimanwendern und kleinen Unternehmen verwendet werden, um sie auf eine gefälschte Website mit einer Popup-Warnung über die Notwendigkeit der Installation einer WHO-Anwendung umzuleiten, mit der Sie immer über die neuesten Nachrichten zu Coronavirus informiert sind. Gleichzeitig enthielt die Anwendung selbst das schädliche Oski-Programm, das Informationen stahl.

Bild

Eine ähnliche Idee mit der Anwendung, die den aktuellen COVID-19-Infektionsstatus enthält, wird auch vom CovidLock-Android-Trojaner ausgenutzt, der über die Anwendung verbreitet wird, die angeblich vom US-Bildungsministerium, der WHO und dem Epidemic Control and Dissemination Center (CDC) „zertifiziert“ ist.

Bild

Viele Benutzer sind heutzutage isoliert und wollen oder wollen nicht wissen, wie man kocht, und nutzen aktiv die Dienste der Lieferung von Lebensmitteln, Lebensmitteln oder anderen Gütern wie Toilettenpapier. Angreifer haben diesen Vektor für ihre eigenen Zwecke gemeistert. So sieht beispielsweise eine bösartige Website aus wie eine legale Ressource der Canada Post. Der Link von der beim Opfer empfangenen SMS führt zur Website, auf der gemeldet wird, dass die bestellte Ware nicht geliefert werden kann, da nur 3 Dollar fehlen, die bezahlt werden müssen. In diesem Fall wird der Benutzer zu der Seite weitergeleitet, auf der Sie die Details Ihrer Kreditkarte angeben müssen ... mit allen sich daraus ergebenden Konsequenzen.

Bild

Abschließend möchte ich zwei weitere Beispiele für Cyber-Bedrohungen im Zusammenhang mit COVID-19 nennen. Beispielsweise sind die Plugins "COVID-19 Coronavirus - WordPress-Plugin für Live-Karten", "Coronavirus Spread Prediction Graphs" oder "Covid-19" in Websites der beliebten WordPress-Engine eingebettet und enthalten neben der Anzeige der Verteilungskarte des Coronavirus auch das Schadprogramm WP-VCD. Und die Firma Zoom, die im Zuge der wachsenden Zahl von Online-Events bei Experten, die als „Zoombombing“ bezeichnet werden, sehr, sehr beliebt geworden ist. Angreifer und in der Tat gewöhnliche Pornotolle verbanden sich mit Online-Chat und Online-Meetings und zeigten verschiedene obszöne Videos. Eine ähnliche Bedrohung begegnen übrigens heute russischen Unternehmen.

Bild

Ich denke, die meisten von uns überprüfen regelmäßig verschiedene offizielle und nicht sehr offizielle Ressourcen, um über den aktuellen Status der Pandemie zu berichten. Angreifer nutzen dieses Thema und bieten uns „die neuesten“ Informationen zum Coronavirus, einschließlich Informationen, „die die Behörden vor Ihnen verstecken“. Aber selbst normale Benutzer helfen Angreifern in letzter Zeit häufig, indem sie überprüfte Fakten von „Bekannten“ und „Freunden“ senden. Psychologen sagen, dass solche Aktivitäten von „Alarmisten“ -Nutzern, die alles aussenden, was in ihr Sichtfeld fällt (insbesondere in sozialen Netzwerken und Instant Messenger, die keine Mechanismen zum Schutz vor solchen Bedrohungen haben), es ihnen ermöglichen, sich in den Kampf gegen die globale Bedrohung verwickelt zu fühlen und Fühlen Sie sich sogar wie Helden, die die Welt vor einem Coronavirus retten. Leider führt der Mangel an Fachwissen dazudass diese guten Absichten „alle in die Hölle führen“, neue Bedrohungen für die Cybersicherheit schaffen und die Zahl der Opfer erhöhen.

Tatsächlich könnte ich die Beispiele für Cyberthreats im Zusammenhang mit Coronavirus noch fortsetzen. Darüber hinaus stehen Cyberkriminelle nicht still und entwickeln immer neue Wege, um menschliche Leidenschaften auszunutzen. Aber ich denke du kannst dort aufhören. Das Bild ist bereits klar und zeigt, dass sich die Situation in naher Zukunft nur noch verschlechtern wird. Gestern haben die Moskauer Behörden die Stadt mit zehn Millionen Einwohnern in die Selbstisolation versetzt. Die Behörden der Region Moskau und vieler anderer Regionen Russlands sowie unsere nächsten Nachbarn im ehemaligen postsowjetischen Raum taten dasselbe. Dies bedeutet, dass die Zahl der potenziellen Opfer, gegen die sich die Bemühungen von Cyberkriminellen richten, um ein Vielfaches zunehmen wird. Daher lohnt es sich, nicht nur Ihre Sicherheitsstrategie zu überprüfen, sondern sich bis vor kurzem darauf zu konzentrieren, nur das Unternehmens- oder Abteilungsnetzwerk zu schützen und zu bewertenWelche Schutzmaßnahmen haben Sie nicht genug, aber berücksichtigen Sie auch die oben genannten Beispiele in Ihrem Personalaufklärungsprogramm, das zu einem wichtigen Bestandteil des Informationssicherheitssystems für Remote-Mitarbeiter wird. UNDCisco ist bereit, Ihnen dabei zu helfen!

Bedrohung. Bei der Vorbereitung dieses Materials verwendeten wir Materialien von Cisco Talos, Naked Security, Antiphishing, Malwarebytes Lab, ZoneAlarm, Reason Security und RiskIQ, dem US-Justizministerium, Bleeping Computer, SecurityAffairs usw. P.

More articles:


All Articles