🚎 🐊 👨🏽‍🚀 Exploitation du thème du coronavirus dans les menaces SI 🦋 🦊 ✝️

Le thème du coronavirus a aujourd'hui rempli tous les fils d'actualité et est également devenu le principal leitmotiv des différentes activités des cybercriminels exploitant le thème de COVID-19 et tout ce qui s'y rapporte. Dans cette note, je voudrais attirer l'attention sur certains exemples de telles activités malveillantes, qui, bien sûr, ne sont pas un secret pour de nombreux experts en sécurité de l'information, mais dont la réduction dans une note facilitera la préparation de leurs propres activités de sensibilisation des employés, dont certaines travaillent à distance et plus sensibles à diverses menaces de sécurité de l'information qu'auparavant.

UFO Care Minute

La pandémie COVID-19, une infection respiratoire aiguë potentiellement grave causée par le coronavirus SARS-CoV-2 (2019-nCoV), a été officiellement annoncée dans le monde. Il y a beaucoup d'informations sur Habré sur ce sujet - rappelez-vous toujours qu'il peut être à la fois fiable / utile, et vice versa.

Nous vous invitons à critiquer toute information publiée.

Sources officielles
Site Web du Ministère de la santé de la Fédération de Russie
Site Web de Rospotrebnadzor
Site Web de l'OMS
Site Web de l'OMS
Sites et groupes officiels de quartiers généraux opérationnels dans les régions

Si vous ne vivez pas en Russie, consultez des sites similaires dans votre pays.

Lavez-vous les mains, prenez soin de vos proches, restez à la maison dans la mesure du possible et travaillez à distance.

Lire les publications sur: coronavirus | travail à distance

Il convient de noter qu'il n'y a pas de menaces complètement nouvelles associées au coronavirus aujourd'hui. Nous parlons plutôt de vecteurs d'attaque déjà traditionnels, juste utilisés avec une nouvelle "sauce". Ainsi, les principaux types de menaces que j'appellerais:

sites de phishing et publipostage de coronavirus et code malveillant connexe
fraude et désinformation visant à exploiter la peur ou des informations incomplètes sur COVID-19
attaques contre des organismes de recherche sur les coronavirus

En Russie, où les citoyens ne font généralement pas confiance aux autorités et croient qu'ils leur cachent la vérité, la probabilité d'une «promotion» réussie des sites de phishing et des newsletters, ainsi que des ressources frauduleuses, est beaucoup plus élevée que dans les pays où les autorités sont plus ouvertes. Bien qu'aujourd'hui, personne ne puisse se considérer comme absolument protégé contre les cyber-fraudeurs créatifs qui utilisent toutes les faiblesses humaines humaines classiques - la peur, la compassion, la cupidité, etc.

Prenons, par exemple, un site d'arnaque vendant des masques médicaux.

Un site similaire, CoronavirusMedicalkit [.] Com, a été fermé par les autorités américaines pour la distribution gratuite d'un vaccin inexistant contre le COVID-19 avec le paiement des frais de port "uniquement" pour l'envoi du médicament. Dans ce cas, à un prix aussi bas, le calcul était basé sur la demande urgente de médicaments en pleine panique aux États-Unis.

Ce n'est pas une cyber-menace classique, car la tâche des attaquants dans ce cas n'est pas d'infecter les utilisateurs et de ne pas voler leurs données personnelles ou informations d'identification, mais juste dans le sillage de la peur de les faire débourser et d'acheter des masques médicaux à des prix gonflés 5-10-30 fois dépassant la valeur réelle. Mais l'idée même de créer un faux site Web qui exploite le thème du coronavirus est également utilisée par les cybercriminels. Par exemple, voici un site dont le nom contient le mot clé "covid19", mais qui est du phishing.

En général, la surveillance quotidienne de notre service d'enquête sur les incidents Cisco Umbrella Investigate, vous voyez combien de domaines sont créés dont les noms contiennent les mots covid, covid19, coronavirus, etc. Et beaucoup d'entre eux sont malveillants.

Dans les conditions où une partie des employés de l'entreprise est transférée au travail à domicile et qu'ils ne sont pas protégés par les recours de l'entreprise, il est plus important que jamais de surveiller les ressources accessibles depuis les appareils mobiles et fixes des employés, consciemment ou à leur insu. Si vous n'utilisez pas le service Cisco Umbrella pour détecter et bloquer ces domaines (et les offres Ciscoconnexion gratuite à ce service), puis configurez au moins vos solutions de surveillance d'accès Web au contrôle de domaine avec les mots-clés correspondants. Dans le même temps, rappelez-vous que l'approche traditionnelle des listes noires de domaines, ainsi que l'utilisation de bases de données de réputation, peut échouer, car les domaines malveillants sont créés très rapidement et ne sont utilisés que dans 1-2 attaques pendant plus de plusieurs heures, puis les attaquants passent à de nouveaux. domaines d'une journée. Les entreprises de sécurité de l'information n'ont tout simplement pas le temps de mettre à jour rapidement leurs bases de connaissances et de les diffuser à tous leurs clients.

Les attaquants continuent d'exploiter activement le canal de messagerie pour distribuer des liens de phishing et des logiciels malveillants dans les pièces jointes. Et leur efficacité est assez élevée, car les utilisateurs, recevant des newsletters assez légitimes sur le coronavirus, ne reconnaissent pas toujours quelque chose de nocif dans leur volume. Et tandis que le nombre de personnes infectées ne fait qu'augmenter, le spectre de ces menaces ne fera que croître.

Par exemple, voici un exemple d'e-mail de phishing au nom du Centre de contrôle des épidémies (CDC):

Cliquer sur le lien ne mène bien sûr pas au site Web du CDC, mais à une fausse page qui vole le nom d'utilisateur et le mot de passe de la victime:

Voici un exemple d'e-mail de phishing supposé être de la part de Organisation Mondiale de la Santé:

Et dans cet exemple, les attaquants s'appuient sur le fait que beaucoup de gens croient que les autorités leur cachent la véritable étendue de l'infection, et que les utilisateurs cliquent donc volontiers et presque sans hésitation sur ces lettres avec des liens malveillants ou des pièces jointes qui révèlent soi-disant tous les secrets.

À propos, il existe un tel site Web Worldomètres qui vous permet de suivre divers indicateurs, par exemple, la mortalité, le nombre de fumeurs, la population dans différents pays, etc. Il existe également une page sur le site dédiée aux coronavirus. Et donc, quand je l'ai visité le 16 mars, j'ai vu une page qui m'a fait douter un instant que les autorités nous disaient la vérité (je ne sais pas quelle est la raison de ces chiffres, peut-être juste une erreur):

Emotet est l'une des infrastructures les plus utilisées par les cybercriminels pour envoyer des e-mails similaires, l'une des menaces les plus dangereuses et les plus populaires de ces derniers temps. Les documents Word incorporés dans les messages électroniques contiennent des téléchargeurs Emotet, qui chargent de nouveaux modules malveillants sur l'ordinateur de la victime. Au départ, Emotet était utilisé pour promouvoir des liens vers des sites frauduleux vendant des masques médicaux et visait les résidents du Japon. Ci-dessous, vous voyez le résultat de l'analyse des fichiers malveillants à l'aide du sandbox Cisco Threat Grid , qui analyse les fichiers à la recherche de logiciels malveillants.

Mais les attaquants exploitent non seulement la capacité de s'exécuter dans MS Word, mais aussi dans d'autres applications Microsoft, par exemple, dans MS Excel (le groupe de pirates APT36 a agi comme ça), envoyant des recommandations sur la lutte contre les coronavirus du gouvernement indien, contenant Crimson RAT: une

autre campagne malveillante qui exploite le thème du coronavirus est Nanocore RAT, qui vous permet d'installer des programmes d'accès à distance sur les ordinateurs victimes qui interceptent les frappes au clavier, capturent des images d'écran, accèdent aux fichiers, etc.

Et Nanocore RAT est généralement livré par e-mail. Par exemple, ci-dessous, vous voyez un exemple de message électronique avec une archive ZIP attachée qui contient un fichier PIF exécutable. En cliquant sur le fichier exécutable, la victime installe l'outil d'accès à distance (RAT) sur son ordinateur.

Voici un autre exemple de campagne parasite sur le thème de COVID-19. L'utilisateur reçoit une lettre sur le prétendu retard de livraison dû au coronavirus avec un compte attaché avec l'extension .pdf.ace. À l'intérieur de l'archive compressée se trouve un contenu exécutable qui établit une connexion avec le serveur de commandes pour recevoir des commandes supplémentaires et atteindre d'autres objectifs des attaquants.

Parallax RAT a une fonctionnalité similaire, qui distribue un fichier avec le nom "new infected CORONAVIRUS sky 02/03 / 2020.pif" et qui installe un programme malveillant qui interagit avec son serveur de commandes via le protocole DNS. Les outils de sécurité de classe EDR, tels que Cisco AMP for Endpoints , aideront à combattre ces programmes d'accès à distance , et les outils de surveillance NGFW (par exemple, Cisco Firepower ) ou DNS (par exemple, Cisco Umbrella ) aideront à surveiller les communications avec les serveurs d'équipe .

Dans l'exemple ci-dessous, le logiciel malveillant d'accès à distance a été installé sur l'ordinateur de la victime, qui, pour une raison inconnue, a été acheté par une publicité indiquant qu'un programme antivirus standard installé sur un PC peut protéger contre le véritable COVID-19. Et après tout, quelqu'un a été conduit à une telle blague apparemment.

Mais parmi les programmes malveillants, il y a aussi des choses vraiment étranges. Par exemple, des fichiers de plaisanterie qui émulent le travail des chiffreurs. Dans un cas, notre équipe Cisco Talos a découvert un fichier appelé CoronaVirus.exe qui verrouille l'écran au moment de l'exécution et démarre une minuterie et le message «supprimer tous les fichiers et dossiers sur cet ordinateur est un coronavirus».

À la fin du compte à rebours, le bouton en bas est devenu actif et quand il a été enfoncé, le message suivant a été affiché disant que tout cela était une blague et que Alt + F12 devrait être enfoncé pour terminer le programme.

Les campagnes anti-malware peuvent être automatisées, par exemple, à l'aide de Cisco E-mail Security, qui vous permet de détecter non seulement le contenu malveillant dans les pièces jointes, mais également de suivre les liens de phishing et les clics sur ceux-ci. Mais même dans ce cas, il ne faut pas oublier la formation des utilisateurs et les simulations de phishing régulières et les cyber-astuces qui prépareront les utilisateurs à diverses astuces de cybercriminels contre vos utilisateurs. Surtout s'ils travaillent à distance et via leur courrier personnel, un code malveillant peut pénétrer le réseau de l'entreprise ou du département. Ici, je pourrais recommander la nouvelle solution Cisco Security Awareness Tool , qui permet non seulement d'effectuer une micro- et une nano-formation du personnel sur les problèmes de sécurité des informations, mais également d'organiser des simulations de phishing pour eux.

Mais si pour une raison quelconque vous n'êtes pas prêt à utiliser de telles solutions, vous devez au moins organiser des mailings réguliers pour vos employés avec un rappel du danger de phishing, ses exemples et une liste de règles de comportement sécuritaires (l'essentiel est que les attaquants ne se déguisent pas en ) Soit dit en passant, l'un des risques possibles pour le moment est les envois de phishing, déguisés en lettres de votre direction, qui parleraient de nouvelles règles et procédures pour le travail à distance, de logiciels obligatoires qui doivent être installés sur des ordinateurs distants, etc. Et n'oubliez pas qu'en plus du courrier électronique, les cybercriminels peuvent utiliser les messageries instantanées et les réseaux sociaux.

Une liste de diffusion ou un programme de sensibilisation pourrait inclure l'exemple classique d'une fausse carte d'infection à coronavirus similaire à celle lancée par l'Université Johns Hopkins. La différence dans la carte malveillante est que lors de l'accès au site de phishing, un logiciel malveillant a été installé sur l'ordinateur de l'utilisateur, qui a volé les informations d'identification de l'utilisateur et envoyé aux cybercriminels. L'une des variétés d'un tel programme a également créé des connexions RDP pour un accès à distance à l'ordinateur de la victime.

En parlant de RDP. Il s'agit d'un autre vecteur d'attaques que les attaquants commencent à utiliser plus activement pendant la pandémie de coronavirus. Lors du passage au travail à distance, de nombreuses entreprises utilisent des services tels que RDP, qui, s'ils sont incorrects en raison de la précipitation à configurer, peuvent entraîner la pénétration de cybercriminels à la fois sur les ordinateurs distants de l'utilisateur et à l'intérieur de l'infrastructure de l'entreprise. De plus, même avec une configuration correcte, dans diverses implémentations RDP, il peut y avoir des vulnérabilités utilisées par les cybercriminels. Par exemple, Cisco Talos a découvertplusieurs vulnérabilités dans FreeRDP, et la vulnérabilité critique CVE-2019-0708 a été découverte dans le service de bureau à distance Miscrosoft en mai de l'année dernière, ce qui a permis l'exécution de code arbitraire sur l'ordinateur de la victime, pour introduire des logiciels malveillants, etc. Un bulletin d'information à ce sujet a été distribué même par la NCCA , et, par exemple, Cisco Talos a publié des recommandations pour sa protection.

Il existe un autre exemple d’exploitation du thème du coronavirus - la véritable menace d’infection de la famille de la victime en cas de refus de payer la rançon en bitcoins. Pour améliorer l'effet, donner une signification à la lettre et créer un sentiment d'omnipotence du rançongiciel, le mot de passe de la victime provenant de l'un de ses comptes, provenant de bases de données de connexion et de mots de passe accessibles au public, a été inséré dans le texte de la lettre.

Dans un exemple ci-dessus, j'ai montré un message de phishing de l'Organisation mondiale de la santé. Et voici un autre exemple dans lequel les utilisateurs sont invités à obtenir une aide financière pour lutter contre COVID-19 (bien que l'erreur dans le mot «DONATION» soit immédiatement évidente dans l'en-tête du corps de la lettre. Et ils demandent de l'aide en bitcoins pour se protéger contre le suivi des cryptomonnaies.

Et de tels exemples De nombreux utilisateurs exploitent aujourd'hui la compassion des utilisateurs: les

Bitcoins sont connectés à COVID-19 d'une manière différente, par exemple, à quoi ressemblent les mailings reçus par de nombreux citoyens britanniques qui sont assis à la maison et ne peuvent pas gagner d'argent (en Russie, cela deviendra également pertinent maintenant).

Se déguisant en journaux et sites d'actualités bien connus, ces bulletins d'information offrent de l'argent facile - en minant des crypto-monnaies sur des sites spéciaux. En fait, après un certain temps, vous recevez un message indiquant que le montant que vous avez gagné peut être retiré sur un compte spécial, mais vous devez transférer un petit montant de taxes avant cela. Il est clair qu'ayant reçu cet argent, les escrocs ne transfèrent rien en réponse et un utilisateur crédule perd l'argent transféré.

Il existe une autre menace pour l'Organisation mondiale de la santé. Les pirates ont craqué les paramètres DNS des routeurs D-Link et Linksys, souvent utilisés par les utilisateurs à domicile et les petites entreprises, afin de les rediriger vers un faux site Web avec un avertissement contextuel sur la nécessité d'installer l'application OMS, qui vous tiendra au courant des dernières nouvelles concernant le coronavirus. Dans le même temps, l'application elle-même contenait le programme Oski nuisible, volant des informations.

Une idée similaire avec l'application contenant l'état actuel de l'infection COVID-19 est également exploitée par le cheval de Troie Android CovidLock, distribué via une application qui est censée être «certifiée» par le ministère américain de l'Éducation, l'OMS et le Centre de contrôle et de diffusion des épidémies (CDC).

De nombreux utilisateurs sont aujourd'hui isolés et, ne voulant pas ou ne sachant pas comment cuisiner, utilisent activement les services de livraison de nourriture, de nourriture ou d'autres biens, tels que du papier toilette. Les attaquants ont maîtrisé ce vecteur à leurs propres fins. Par exemple, voici à quoi ressemble un site malveillant comme une ressource juridique appartenant à Postes Canada. Le lien du SMS reçu par la victime mène au site Web, qui signale que les marchandises commandées ne peuvent pas être livrées, car il ne manque que 3 dollars, qui doivent être payés. Dans ce cas, l'utilisateur est dirigé vers la page où vous devez spécifier les détails de votre carte de crédit ... avec toutes les conséquences qui en découlent.

En conclusion, je voudrais donner deux autres exemples de cybermenaces associées à COVID-19. Par exemple, les plugins "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" ou "Covid-19" sont intégrés aux sites du moteur WordPress populaire et, en plus d'afficher la carte de distribution du coronavirus, contiennent également le programme malveillant WP-VCD. Et la société Zoom, qui, à la suite du nombre croissant d'événements en ligne, est devenue très, très populaire auprès de ce que les experts ont appelé «Zoombombing». Les attaquants, et en fait des trolls pornos ordinaires, se sont connectés à des chats et à des réunions en ligne et ont montré diverses vidéos obscènes. Soit dit en passant, une menace similaire est rencontrée aujourd'hui par les entreprises russes.

Je pense que la plupart d'entre nous vérifions régulièrement diverses ressources, à la fois officielles et pas très, pour parler de l'état actuel de la pandémie. Les attaquants exploitent ce sujet en nous offrant «les dernières» informations sur le coronavirus, y compris les informations «que les autorités vous cachent». Mais même des utilisateurs ordinaires ordinaires ont récemment aidé des attaquants en envoyant des faits vérifiés de «connaissances» et «amis». Les psychologues disent qu'une telle activité d'utilisateurs «alarmistes» qui envoient tout ce qui tombe dans leur champ de vision (en particulier dans les réseaux sociaux et les messagers instantanés qui n'ont pas de mécanismes pour se protéger contre de telles menaces) leur permet de se sentir impliqués dans la lutte contre la menace mondiale et , même, sentez-vous comme des héros qui sauvent le monde d'un coronavirus. Mais, malheureusement, le manque de connaissances spécialisées conduit àque ces bonnes intentions «conduisent tout le monde en enfer», créant de nouvelles menaces pour la cybersécurité et augmentant le nombre de victimes.

En fait, je pourrais continuer les exemples de cybermenaces associées au coronavirus; de plus, les cybercriminels ne s'arrêtent pas et proposent de plus en plus de nouvelles façons d'exploiter les passions humaines. Mais je pense que vous pouvez vous arrêter là. L'image est déjà claire et elle nous dit que dans un proche avenir, la situation ne fera qu'empirer. Hier, les autorités de Moscou ont transféré la ville de dix millions d'habitants à l'auto-isolement. Les autorités de la région de Moscou et de nombreuses autres régions de la Russie, ainsi que nos plus proches voisins dans l'ancien espace post-soviétique, ont fait de même. Cela signifie que le nombre de victimes potentielles sur lesquelles les efforts des cybercriminels seront dirigés augmentera de nombreuses fois. Par conséquent, il vaut la peine non seulement de revoir votre stratégie de sécurité, jusqu'à récemment concentré sur la protection uniquement du réseau d'entreprise ou départemental, et d'évaluerquels moyens de protection vous n’avez pas assez, mais considérez également les exemples ci-dessus dans votre programme de sensibilisation du personnel, qui devient une partie importante du système de sécurité des informations pour les travailleurs à distance. ETCisco est prêt à vous aider avec cela!

Menace. Pour préparer ce matériel, nous avons utilisé des matériaux de Cisco Talos, Naked Security, Antiphishing, Malwarebytes Lab, ZoneAlarm, Reason Security et RiskIQ, le département américain de la Justice, Bleeping Computer, SecurityAffairs, etc. P.

Exploitation du thème du coronavirus dans les menaces SI

UFO Care Minute

Nous vous invitons à critiquer toute information publiée.

More articles: