Get best of the week

Explotación del tema del coronavirus en las amenazas de IS

El tema del coronavirus hoy ha llenado todas las fuentes de noticias, y también se ha convertido en el principal leitmotiv para las diversas actividades de los ciberdelincuentes que explotan el tema de COVID-19 y todo lo relacionado con él. En esta nota, me gustaría llamar la atención sobre algunos ejemplos de dicha actividad maliciosa, que, por supuesto, no es un secreto para muchos expertos en seguridad de la información, pero la reducción de la misma en una nota facilitará la preparación de sus propias actividades de sensibilización para los empleados, algunos de los cuales trabajan de forma remota y más susceptible a varias amenazas de seguridad de la información que antes.

imagen

Minuto de atención ovni


La pandemia COVID-19, una infección respiratoria aguda potencialmente grave causada por el coronavirus SARS-CoV-2 (2019-nCoV), se ha anunciado oficialmente en el mundo. Hay mucha información sobre Habré sobre este tema; recuerde siempre que puede ser confiable / útil, y viceversa.

Le instamos a que sea crítico con cualquier información publicada.


Fuentes oficiales

Si no vive en Rusia, consulte sitios similares en su país.

Lávese las manos, cuide a sus seres queridos, quédese en casa siempre que sea posible y trabaje de forma remota.

Leer publicaciones sobre: coronavirus | trabajo remoto

Cabe señalar que no hay amenazas completamente nuevas asociadas con el coronavirus en la actualidad. Más bien, estamos hablando de vectores de ataque ya tradicionales, recién utilizados con una nueva "salsa". Entonces, los tipos clave de amenazas que llamaría:

  • sitios y correos de phishing de coronavirus y código malicioso relacionado
  • fraude y desinformación dirigida a explotar el miedo o información incompleta sobre COVID-19
  • ataques contra organizaciones de investigación de coronavirus

En Rusia, donde los ciudadanos tradicionalmente no confían en las autoridades y creen que les están ocultando la verdad, la probabilidad de una "promoción" exitosa de sitios de phishing y boletines, así como recursos fraudulentos, es mucho mayor que en países con autoridades más abiertas. Aunque hoy en día nadie puede considerarse absolutamente protegido de los estafadores cibernéticos creativos que usan todas las debilidades humanas humanas clásicas: miedo, compasión, codicia, etc.

Tomemos, por ejemplo, un sitio de estafa que vende máscaras médicas.

imagen

Un sitio similar, CoronavirusMedicalkit [.] Com, fue cerrado por las autoridades de EE. UU. Para la distribución gratuita de una vacuna inexistente contra COVID-19 con el pago de "solo" franqueo por enviar el medicamento. En este caso, a un precio tan bajo, el cálculo fue sobre la demanda urgente de medicamentos en medio del pánico en los Estados Unidos.

imagen

Esta no es una amenaza cibernética clásica, ya que la tarea de los atacantes en este caso no es infectar a los usuarios y no robar sus datos personales o información de identificación, sino solo por el miedo a hacer que se desembolsen y compren máscaras médicas a precios inflados 5-10-30 veces excediendo el valor real. Pero la idea misma de crear un sitio web falso que explote el tema del coronavirus también es utilizada por los cibercriminales. Por ejemplo, aquí hay un sitio cuyo nombre contiene la palabra clave "covid19", pero que es phishing.

imagen

En general, monitorear diariamente nuestro servicio de investigación de incidentes de Cisco Umbrella Investigate, verá cuántos dominios se están creando cuyos nombres contienen las palabras covid, covid19, coronavirus, etc. Y muchos de ellos son maliciosos.

imagen

En las condiciones en que una parte de los empleados de la empresa se transfiere al trabajo desde su hogar y no están protegidos por los recursos de la empresa, es más importante que nunca monitorear los recursos a los que se accede desde dispositivos móviles y estacionarios de los empleados, ya sea conscientemente o sin su conocimiento. Si no usa el servicio Cisco Umbrella para detectar y bloquear dichos dominios (y Cisco ofreceahora conexión gratuita a este servicio), luego al menos configure sus soluciones de monitoreo de acceso web para el control de dominio con las palabras clave correspondientes. Al mismo tiempo, recuerde que el enfoque tradicional de los dominios de listas negras, así como el uso de bases de datos de reputación, puede fallar, ya que los dominios maliciosos se crean muy rápidamente y se usan en solo 1-2 ataques durante no más de varias horas, luego los atacantes cambian a otros nuevos. dominios de un día. Las compañías de seguridad de la información simplemente no tienen tiempo para actualizar rápidamente sus bases de conocimiento y distribuirlas a todos sus clientes.

Los atacantes continúan explotando activamente el canal de correo electrónico para distribuir enlaces de phishing y malware en archivos adjuntos. Y su efectividad es bastante alta, ya que los usuarios, que reciben boletines bastante legítimos sobre el coronavirus, no siempre reconocen algo dañino en su volumen. Y aunque el número de personas infectadas solo está creciendo, el espectro de tales amenazas también solo crecerá.

Por ejemplo, aquí hay un ejemplo de un correo electrónico de phishing en nombre del Centro de Control de Epidemias (CDC): al

imagen

hacer clic en el enlace, por supuesto, no se accede al sitio web de los CDC, sino a una página falsa que roba el nombre de usuario y la contraseña de la víctima:

imagen

Aquí hay un ejemplo de un correo electrónico de phishing supuestamente en nombre de Organización Mundial de la Salud:

imagen

Y en este ejemplo, los atacantes confían en el hecho de que muchas personas creen que las autoridades les están ocultando el verdadero alcance de la infección y, por lo tanto, los usuarios con gusto y casi sin dudarlo hacen clic en esas letras con enlaces maliciosos o archivos adjuntos que supuestamente revelan todos los secretos.

imagen

Por cierto, existe un sitio web de Worldometers que le permite rastrear varios indicadores, por ejemplo, mortalidad, número de fumadores, población en diferentes países, etc. También hay una página en el sitio dedicada al coronavirus. Y así, cuando lo visité el 16 de marzo, vi una página que me hizo dudar por un momento de que las autoridades nos estaban diciendo la verdad (no sé cuál es la razón de tales números, tal vez, solo un error):

imagen

Una de las infraestructuras populares que utilizan los ciberdelincuentes para enviar correos electrónicos similares es Emotet, una de las amenazas más peligrosas y populares de los últimos tiempos. Los documentos de Word integrados en los mensajes de correo electrónico contienen descargadores de Emotet, que cargan nuevos módulos maliciosos en la computadora de la víctima. Inicialmente, Emotet se utilizó para promover enlaces a sitios fraudulentos que venden máscaras médicas, y estaba dirigido a residentes de Japón. A continuación puede ver el resultado del análisis de archivos de malware utilizando el entorno limitado de Cisco Threat Grid , que analiza los archivos en busca de malware.

imagen

Pero los atacantes explotan no solo la capacidad de ejecutarse en MS Word, sino también en otras aplicaciones de Microsoft, por ejemplo, en MS Excel (el grupo de hackers APT36 actuó así), enviando recomendaciones sobre la lucha contra el coronavirus del Gobierno de la India, que contiene Crimson RAT:

imagen

otra campaña maliciosa El tema que explota el coronavirus es Nanocore RAT, que le permite instalar programas para acceso remoto en las computadoras de las víctimas que interceptan pulsaciones de teclas, capturan imágenes de pantalla, acceden a archivos, etc.

imagen

Y Nanocore RAT generalmente se entrega por correo electrónico. Por ejemplo, a continuación verá un ejemplo de un mensaje de correo con un archivo ZIP adjunto que contiene un archivo PIF ejecutable. Al hacer clic en el archivo ejecutable, la víctima instala la Herramienta de acceso remoto (RAT) en su computadora.

imagen

Aquí hay otro ejemplo de una campaña parasitaria sobre el tema de COVID-19. El usuario recibe una carta sobre el supuesto retraso en la entrega debido al coronavirus con una cuenta adjunta con la extensión .pdf.ace. Dentro del archivo comprimido hay contenido ejecutable que establece una conexión con el servidor de comandos para recibir comandos adicionales y cumplir otros objetivos de los atacantes.

imagen

Parallax RAT tiene una funcionalidad similar, que distribuye un archivo llamado "nuevo CORONAVIRUS sky 02/03 / 2020.pif infectado" y que instala un programa malicioso que interactúa con su servidor de comandos a través del protocolo DNS. Las herramientas de seguridad de clase EDR, como Cisco AMP for Endpoints , ayudarán a combatir dichos programas de acceso remoto , y las herramientas de monitoreo NGFW (por ejemplo, Cisco Firepower ) o DNS (por ejemplo, Cisco Umbrella ) ayudarán a monitorear las comunicaciones con los servidores del equipo .

En el ejemplo a continuación, el malware de acceso remoto se instaló en la computadora de la víctima, que por alguna razón desconocida fue comprada por un anuncio que indica que un programa antivirus regular instalado en una PC puede proteger contra COVID-19 real. Y después de todo, alguien fue llevado a una broma tan aparentemente.

imagen

Pero entre los programas maliciosos también hay cosas realmente extrañas. Por ejemplo, archivos de broma que emulan el trabajo de los encriptadores. En un caso, nuestro equipo de Cisco Talos descubrió un archivo llamado CoronaVirus.exe que bloquea la pantalla en tiempo de ejecución e inicia un temporizador y el mensaje "eliminar todos los archivos y carpetas en esta computadora es coronavirus".

imagen

Al final de la cuenta regresiva, el botón en la parte inferior se activó, y cuando se presionó, se mostró el siguiente mensaje que decía que todo esto era una broma y que Alt + F12 debería presionarse para finalizar el programa.

imagen

Las campañas antimalware se pueden automatizar, por ejemplo, utilizando Cisco E-mail Security, que le permite detectar no solo contenido malicioso en archivos adjuntos, sino también rastrear enlaces de phishing y clics en ellos. Pero incluso en este caso, no se olvide de la capacitación del usuario y la realización regular de simulaciones de phishing y ataques cibernéticos que prepararán a los usuarios para varios trucos de ciberdelincuentes contra sus usuarios. Especialmente si trabajan de forma remota y a través de su correo personal, el código malicioso puede penetrar en la red corporativa o departamental. Aquí podría recomendar la nueva solución Cisco Security Awareness Tool , que permite no solo realizar micro y nano capacitación del personal sobre temas de seguridad de la información, sino también organizar simulaciones de phishing para ellos.

Pero si por alguna razón no está listo para usar tales soluciones, entonces al menos debería organizar correos regulares para sus empleados con un recordatorio del peligro de phishing, sus ejemplos y una lista de reglas de comportamiento seguro (lo principal es que los atacantes no se disfrazan como ) Por cierto, uno de los posibles riesgos en la actualidad son los correos de phishing, disfrazados de cartas de su administración, que supuestamente hablan sobre nuevas reglas y procedimientos para el trabajo remoto, software obligatorio que debe instalarse en computadoras remotas, etc. Y no olvide que, además del correo electrónico, los ciberdelincuentes pueden usar mensajería instantánea y redes sociales.

Una lista de correo o un programa de sensibilización podría incluir el ejemplo clásico de un mapa falso de infección por coronavirus, que fue similar al lanzado por la Universidad Johns Hopkins. La diferencia entre la tarjeta maliciosa era que al acceder al sitio de phishing, se instalaba malware en la computadora del usuario, que robaba las credenciales del usuario y se enviaba a los cibercriminales. Una de las variedades de dicho programa también creó conexiones RDP para acceso remoto a la computadora de la víctima.

imagen

Hablando de RDP. Este es otro vector para los ataques que los atacantes comienzan a usar más activamente durante la pandemia de coronavirus. Cuando se cambia al trabajo remoto, muchas compañías usan servicios como RDP, que, si son incorrectos debido a la prisa por configurar, pueden conducir a la penetración de ciberdelincuentes tanto en las computadoras remotas del usuario como dentro de la infraestructura corporativa. Además, incluso con la configuración adecuada, en varias implementaciones de RDP puede haber vulnerabilidades utilizadas por los ciberdelincuentes. Por ejemplo, Cisco Talos descubriómúltiples vulnerabilidades en FreeRDP, y la vulnerabilidad crítica CVE-2019-0708 se descubrió en el servicio de escritorio remoto Miscrosoft en mayo del año pasado, lo que permitió ejecutar código arbitrario en la computadora de la víctima, para introducir malware, etc. Incluso el NCCA distribuyó un boletín al respecto , y, por ejemplo, Cisco Talos publicó recomendaciones para protegerse contra él.

Hay otro ejemplo de explotación del tema del coronavirus: la verdadera amenaza de infección de la familia de la víctima en caso de negarse a pagar el rescate en bitcoins. Para mejorar el efecto, dar importancia a la letra y crear una sensación de omnipotencia del ransomware, la contraseña de la víctima de una de sus cuentas recibidas de bases de datos de acceso y contraseñas disponibles públicamente se insertó en el texto de la carta.

imagen

En un ejemplo anterior, mostré un mensaje de phishing de la Organización Mundial de la Salud. Y aquí hay otro ejemplo en el que se solicita ayuda financiera a los usuarios para combatir COVID-19 (aunque el error en la palabra "DONACIÓN" es inmediatamente evidente en el encabezado del cuerpo de la carta. Y piden ayuda en bitcoins para proteger contra el seguimiento de criptomonedas.

imagen

Y tales ejemplos Hoy en día, hay muchos usuarios que explotan la compasión de los usuarios: los

imagen

Bitcoins están conectados a COVID-19 de una manera diferente, por ejemplo, así es como se ven los correos recibidos por muchos ciudadanos del Reino Unido que se sientan en casa y no pueden ganar dinero (en Rusia esto también será relevante ahora).

imagen

Disfrazándose de periódicos y sitios de noticias conocidos, estos boletines ofrecen dinero fácil: extraer criptomonedas en sitios especiales. De hecho, después de un tiempo recibe un mensaje que indica que la cantidad que ganó puede retirarse a una cuenta especial, pero debe transferir una pequeña cantidad de impuestos antes de eso. Está claro que después de recibir este dinero, los estafadores no transfieren nada en respuesta, y un usuario crédulo pierde el dinero transferido.

imagen

Hay otra amenaza para la Organización Mundial de la Salud. Los piratas informáticos descifraron la configuración de DNS de los enrutadores D-Link y Linksys, a menudo utilizados por usuarios domésticos y pequeñas empresas, para redirigirlos a un sitio web falso con una advertencia emergente sobre la necesidad de instalar una aplicación de la OMS, lo que le permitirá estar siempre al día con las últimas noticias sobre coronavirus. Al mismo tiempo, la aplicación contenía el programa Oski dañino, robando información.

imagen

Una idea similar con la aplicación que contiene el estado actual de la infección por COVID-19 también es explotada por el troyano CovidLock para Android, distribuido a través de la aplicación, que supuestamente está "certificada" por el Departamento de Educación de EE. UU., La OMS y el Centro de Control y Diseminación de Epidemias (CDC).

imagen

Muchos usuarios de hoy están aislados y, sin querer o sin saber cocinar, utilizan activamente los servicios de entrega de alimentos, alimentos u otros bienes, como papel higiénico. Los atacantes han dominado este vector para sus propios fines. Por ejemplo, así es como un sitio malicioso se parece a un recurso legal que pertenece a Canada Post. El enlace del SMS recibido por la víctima conduce al sitio web, que informa que los productos pedidos no se pueden entregar, porque solo faltan 3 dólares, que deben pagarse. En este caso, el usuario se dirige a la página donde necesita especificar los detalles de su tarjeta de crédito ... con todas las consecuencias resultantes.

imagen

En conclusión, me gustaría dar dos ejemplos más de amenazas cibernéticas asociadas con COVID-19. Por ejemplo, los complementos "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" o "Covid-19" están integrados en sitios en el popular motor de WordPress y, junto con la visualización del mapa de distribución del coronavirus, también contienen el programa malicioso WP-VCD. Y la compañía Zoom, que, a raíz del creciente número de eventos en línea, se ha vuelto muy, muy popular con lo que los expertos han llamado "Zoombombing". Los atacantes, y de hecho trolls porno comunes, se conectaron a chats y reuniones en línea y mostraron varios videos obscenos. Por cierto, las empresas rusas se encuentran hoy con una amenaza similar.

imagen

Creo que la mayoría de nosotros revisamos regularmente diversos recursos, tanto oficiales como no muy, informando sobre el estado actual de la pandemia. Los atacantes explotan este tema, ofreciéndonos "la última" información sobre el coronavirus, incluida información "que las autoridades te están ocultando". Pero incluso los usuarios comunes y corrientes recientemente suelen ayudar a los atacantes enviando datos verificados de "conocidos" y "amigos". Los psicólogos dicen que esa actividad de los usuarios "alarmistas" que envían todo lo que cae dentro de su campo de visión (especialmente en las redes sociales y los mensajeros instantáneos que no tienen mecanismos para protegerse contra tales amenazas) les permite sentirse involucrados en la lucha contra la amenaza global y , incluso, se sienten como héroes salvando al mundo de un coronavirus. Pero, desafortunadamente, la falta de conocimiento especializado lleva aque estas buenas intenciones "llevan a todos al infierno", creando nuevas amenazas a la seguridad cibernética y aumentando el número de víctimas.

De hecho, aún podría continuar con los ejemplos de amenazas cibernéticas asociadas con el coronavirus; Además, los ciberdelincuentes no se detienen y proponen cada vez más formas nuevas de explotar las pasiones humanas. Pero creo que puedes parar allí. La imagen ya está clara y nos dice que en un futuro cercano la situación solo empeorará. Ayer, las autoridades de Moscú transfirieron la ciudad con una población de diez millones al autoaislamiento. Las autoridades de la región de Moscú y muchas otras regiones de Rusia, así como nuestros vecinos más cercanos en el antiguo espacio postsoviético, hicieron lo mismo. Esto significa que la cantidad de víctimas potenciales a quienes se dirigirán los esfuerzos de los ciberdelincuentes aumentará muchas veces. Por lo tanto, vale la pena no solo revisar su estrategia de seguridad, sino hasta hace poco centrarse en proteger solo la red corporativa o departamental, y evaluarqué medios de protección le faltan, pero también considere los ejemplos en el programa de concientización de su personal, que se está convirtiendo en una parte importante del sistema de seguridad de la información para los trabajadores remotos. Y¡Cisco está listo para ayudarlo con esto!

Amenaza. Al preparar este material, utilizamos materiales de Cisco Talos, Naked Security, Antiphishing, Malwarebytes Lab, ZoneAlarm, Reason Security and RiskIQ, el Departamento de Justicia de EE. UU., Bleeping Computer, SecurityAffairs, etc. pags.

More articles:


All Articles