Get best of the week

Eksploitasi tema coronavirus dalam ancaman IS

Tema coronavirus saat ini telah mengisi semua feed berita, dan juga telah menjadi leitmotif utama untuk berbagai kegiatan penjahat cyber yang mengeksploitasi tema COVID-19 dan segala sesuatu yang berkaitan dengannya. Dalam catatan ini, saya ingin menarik perhatian pada beberapa contoh kegiatan berbahaya seperti itu, yang, tentu saja, bukan rahasia bagi banyak pakar keamanan informasi, tetapi pengurangan dalam satu catatan akan memfasilitasi persiapan kegiatan peningkatan kesadaran mereka sendiri untuk karyawan, beberapa di antaranya bekerja dari jarak jauh dan lebih rentan terhadap berbagai ancaman keamanan informasi daripada sebelumnya.

gambar

Menit Perawatan UFO


Pandemi COVID-19, infeksi pernafasan akut yang berpotensi parah yang disebabkan oleh coronavirus SARS-CoV-2 (2019-nCoV), telah secara resmi diumumkan di dunia. Ada banyak informasi tentang Habré tentang topik ini - selalu ingat bahwa Habré dapat diandalkan / bermanfaat, dan sebaliknya.

Kami mendesak Anda untuk kritis terhadap informasi apa pun yang dipublikasikan.


Sumber resmi

Jika Anda tidak tinggal di Rusia, lihat situs serupa di negara Anda.

Cuci tangan, rawat orang yang Anda cintai, tinggal di rumah kapan saja memungkinkan dan bekerja dari jarak jauh.

Baca publikasi tentang: coronavirus | kerja jarak jauh

Perlu dicatat bahwa tidak ada ancaman sama sekali baru yang terkait dengan coronavirus saat ini. Sebaliknya, kita berbicara tentang vektor serangan yang sudah tradisional, hanya digunakan dengan "saus" baru. Jadi, jenis ancaman utama yang saya sebut:

  • situs phising dan email coronavirus dan kode berbahaya terkait
  • penipuan dan kesalahan informasi yang bertujuan untuk mengeksploitasi ketakutan atau informasi yang tidak lengkap tentang COVID-19
  • serangan terhadap organisasi penelitian coronavirus

Di Rusia, di mana warga negara secara tradisional tidak mempercayai otoritas dan percaya bahwa mereka menyembunyikan kebenaran dari mereka, kemungkinan keberhasilan "promosi" situs phishing dan buletin, serta sumber daya penipuan, jauh lebih tinggi daripada di negara-negara dengan otoritas yang lebih terbuka. Meskipun hari ini tidak ada yang dapat menganggap dirinya benar-benar terlindungi dari penipu dunia maya yang kreatif yang menggunakan semua kelemahan manusia klasik - ketakutan, kasih sayang, keserakahan, dll.

Ambil contoh, situs penipuan yang menjual masker medis.

gambar

Situs serupa, CoronavirusMedicalkit [.] Com, ditutup oleh otoritas AS untuk distribusi gratis vaksin yang tidak ada terhadap COVID-19 dengan pembayaran ongkos kirim "hanya" untuk mengirim obat. Dalam hal ini, dengan harga yang sangat murah, perhitungannya adalah pada permintaan obat-obatan yang terburu-buru di tengah kepanikan di Amerika Serikat.

gambar

Ini bukan ancaman dunia maya klasik, karena tugas penyerang dalam kasus ini bukan untuk menginfeksi pengguna dan tidak mencuri data pribadi atau informasi identifikasi mereka, tetapi hanya di tengah ketakutan untuk membuat mereka membayar dan membeli masker medis dengan harga meningkat 5-10-30 kali melebihi nilai sebenarnya. Tetapi gagasan untuk membuat situs web palsu yang mengeksploitasi tema coronavirus juga digunakan oleh para penjahat dunia maya. Misalnya, berikut adalah situs yang namanya mengandung kata kunci "covid19", tetapi yang merupakan phising.

gambar

Secara umum, memonitor layanan investigasi insiden Cisco Umbrella Investigate kami setiap hari, Anda melihat berapa banyak domain yang dibuat yang namanya mengandung kata covid, covid19, coronavirus, dll. Dan banyak dari mereka yang jahat.

gambar

Dalam kondisi ketika sebagian karyawan perusahaan ditransfer ke tempat kerja dari rumah dan mereka tidak dilindungi oleh pemulihan perusahaan, lebih penting daripada sebelumnya untuk memantau sumber daya yang diakses dari perangkat bergerak dan alat tulis karyawan, baik secara sadar atau tanpa sepengetahuan mereka. Jika Anda tidak menggunakan layanan Cisco Umbrella untuk mendeteksi dan memblokir domain tersebut (dan penawaran Ciscosekarang koneksi gratis ke layanan ini), maka paling tidak konfigurasikan solusi pemantauan akses Web Anda untuk kontrol domain dengan kata kunci yang sesuai. Pada saat yang sama, ingat bahwa pendekatan tradisional dari daftar hitam domain, serta menggunakan database reputasi, dapat gagal, karena domain jahat dibuat dengan sangat cepat dan digunakan hanya dalam 1-2 serangan selama tidak lebih dari beberapa jam, maka para penyerang beralih ke yang baru domain satu hari. Perusahaan keamanan informasi tidak punya waktu untuk dengan cepat memperbarui basis pengetahuan mereka dan mendistribusikannya ke semua pelanggan mereka.

Penyerang terus secara aktif mengeksploitasi saluran email untuk mendistribusikan tautan phishing dan malware dalam lampiran. Dan efektivitasnya cukup tinggi, karena pengguna, yang menerima buletin yang cukup sah tentang coronavirus, mungkin tidak selalu mengenali sesuatu yang berbahaya dalam volume mereka. Dan sementara jumlah orang yang terinfeksi hanya bertambah, spektrum ancaman semacam itu juga hanya akan bertambah.

Misalnya, berikut adalah contoh email phising atas nama Epidemic Control Center (CDC):

gambar

Mengklik tautan tentu saja tidak mengarah ke situs web CDC, tetapi ke halaman palsu yang mencuri nama pengguna dan kata sandi korban:

gambar

Ini adalah contoh email phising yang diduga atas nama Organisasi Kesehatan Dunia:

gambar

Dan dalam contoh ini, para penyerang bergantung pada fakta bahwa banyak orang percaya bahwa pihak berwenang menyembunyikan tingkat sebenarnya infeksi dari mereka, dan oleh karena itu pengguna dengan senang hati dan hampir tanpa ragu mengklik surat-surat semacam itu dengan tautan jahat atau lampiran yang konon mengungkapkan semua rahasia.

gambar

Omong-omong, ada situs web Worldometers yang memungkinkan Anda melacak berbagai indikator, misalnya kematian, jumlah perokok, populasi di berbagai negara, dll. Ada juga halaman di situs yang didedikasikan untuk coronavirus. Maka, ketika saya mengunjunginya pada 16 Maret, saya melihat halaman yang membuat saya ragu sejenak bahwa pihak berwenang mengatakan yang sebenarnya (saya tidak tahu apa alasan angka-angka tersebut, mungkin, hanya kesalahan):

gambar

Salah satu infrastruktur populer yang digunakan penjahat cyber untuk mengirim email serupa adalah Emotet, salah satu ancaman paling berbahaya dan populer akhir-akhir ini. Dokumen Word yang disematkan dalam pesan email berisi pengunduh Emotet, yang memuat modul jahat baru ke komputer korban. Awalnya, Emotet digunakan untuk mempromosikan tautan ke situs penipuan yang menjual masker medis, dan ditujukan untuk penduduk Jepang. Di bawah ini Anda melihat hasil analisis file malware menggunakan kotak pasir Cisco Threat Grid , yang menganalisis file untuk malware.

gambar

Tetapi para penyerang mengeksploitasi tidak hanya kemampuan untuk berjalan di MS Word, tetapi juga di aplikasi Microsoft lainnya, misalnya, di MS Excel (kelompok peretas APT36 bertindak seperti ini), mengirimkan rekomendasi untuk memerangi virus corona dari Pemerintah India, yang berisi Crimson RAT:

gambar

Kampanye berbahaya lainnya yang mengeksploitasi tema coronavirus adalah Nanocore RAT, yang memungkinkan Anda menginstal program untuk akses jarak jauh pada komputer korban yang mencegat penekanan tombol, menangkap gambar layar, mengakses file, dll.

gambar

Dan Nanocore RAT biasanya dikirimkan melalui email. Misalnya, di bawah ini Anda melihat contoh pesan email dengan arsip ZIP terlampir yang berisi file PIF yang dapat dieksekusi. Dengan mengklik pada file yang dapat dieksekusi, korban menginstal Remote Access Tool (RAT) di komputernya.

gambar

Berikut adalah contoh lain dari parasit kampanye dengan tema COVID-19. Pengguna menerima surat tentang dugaan keterlambatan pengiriman karena coronavirus dengan akun terlampir dengan ekstensi .pdf.ace. Di dalam arsip terkompresi adalah konten yang dapat dieksekusi yang membuat koneksi ke server perintah untuk menerima perintah tambahan dan memenuhi tujuan lain dari penyerang.

gambar

RAT Parallax memiliki fungsi serupa, yang mendistribusikan file yang disebut "CORONAVIRUS sky 02/03 / 2020.pif yang baru terinfeksi" dan yang menginstal program jahat yang berinteraksi dengan server perintahnya melalui protokol DNS. Alat keamanan kelas EDR, seperti Cisco AMP untuk Endpoints , akan membantu melawan program akses jarak jauh tersebut , dan NGFW (misalnya, Cisco Firepower ) atau alat pemantauan DNS (misalnya, Cisco Umbrella ) akan membantu memantau komunikasi dengan server tim .

Dalam contoh di bawah ini, malware akses jarak jauh dipasang di komputer korban, yang karena alasan yang tidak diketahui dibeli oleh iklan yang menyatakan bahwa program anti-virus biasa yang diinstal pada PC dapat melindungi terhadap COVID-19 yang sebenarnya. Dan setelah semua, seseorang dituntun ke lelucon yang tampaknya.

gambar

Tetapi di antara program jahat ada juga hal-hal aneh. Misalnya, bercanda file yang mengemulasi karya enkripsi. Dalam satu kasus, divisi Cisco Talos kami menemukan file bernama CoronaVirus.exe yang mengunci layar saat runtime dan memulai timer dan pesan "hapus semua file dan folder di komputer ini adalah coronavirus".

gambar

Pada akhir hitungan mundur, tombol di bagian bawah menjadi aktif dan ketika ditekan, pesan berikut ini ditampilkan mengatakan bahwa semua ini adalah lelucon dan Alt + F12 harus ditekan untuk mengakhiri program.

gambar

Kampanye anti-malware dapat diotomatisasi, misalnya, menggunakan Cisco E-mail Security, yang memungkinkan Anda mendeteksi tidak hanya konten jahat dalam lampiran, tetapi juga melacak tautan phising dan mengekliknya. Tetapi bahkan dalam kasus ini, kita tidak boleh lupa tentang pelatihan pengguna dan simulasi phishing reguler dan trik cyber yang akan mempersiapkan pengguna untuk berbagai trik penjahat cyber terhadap pengguna Anda. Terutama jika mereka bekerja dari jarak jauh dan melalui surat pribadi mereka, kode berbahaya dapat menembus jaringan perusahaan atau departemen. Di sini saya dapat merekomendasikan solusi Cisco Security Awareness Tool yang baru , yang memungkinkan tidak hanya melakukan pelatihan mikro dan nano personel tentang masalah keamanan informasi, tetapi juga mengatur simulasi phishing untuk mereka.

Tetapi jika karena alasan tertentu Anda tidak siap untuk menggunakan solusi tersebut, maka Anda setidaknya harus mengatur milis reguler untuk karyawan Anda dengan pengingat bahaya phising, contoh-contohnya dan daftar aturan perilaku aman (yang utama adalah bahwa penyerang tidak menyamar sebagai ) Ngomong-ngomong, salah satu risiko yang mungkin terjadi saat ini adalah pengiriman phising, disamarkan sebagai surat dari manajemen Anda, yang diduga berbicara tentang aturan dan prosedur baru untuk pekerjaan jarak jauh, perangkat lunak wajib yang harus diinstal pada komputer jarak jauh, dll. Dan jangan lupa bahwa selain email, penjahat cyber dapat menggunakan kurir instan dan jejaring sosial.

Milis atau program peningkatan kesadaran dapat mencakup contoh klasik dari peta infeksi coronavirus palsu, yang serupa dengan yang diluncurkan oleh Universitas Johns Hopkins. Perbedaan dalam kartu jahat adalah ketika mengakses situs phishing, malware dipasang di komputer pengguna, yang mencuri kredensial pengguna dan dikirim ke penjahat cyber. Salah satu varietas dari program semacam itu juga menciptakan koneksi RDP untuk akses jarak jauh ke komputer korban.

gambar

Berbicara tentang RDP. Ini adalah vektor lain untuk serangan yang mulai digunakan penyerang secara lebih aktif selama pandemi coronavirus. Ketika beralih ke pekerjaan jarak jauh, banyak perusahaan menggunakan layanan seperti RDP, yang, jika mereka salah karena terburu-buru mengonfigurasi, dapat menyebabkan penetrasi penjahat cyber baik di komputer jarak jauh pengguna dan di dalam infrastruktur perusahaan. Selain itu, bahkan dengan konfigurasi yang tepat, dalam berbagai implementasi RDP mungkin ada kerentanan yang digunakan oleh penjahat cyber. Sebagai contoh, Cisco Talos ditemukanbanyak kerentanan dalam FreeRDP, dan kerentanan kritis CVE-2019-0708 ditemukan di layanan desktop jarak jauh Miscrosoft pada Mei tahun lalu, yang memungkinkan kode arbitrer dijalankan di komputer korban, untuk memperkenalkan malware, dll. Sebuah buletin tentang itu didistribusikan bahkan oleh NCCA , dan, misalnya, Cisco Talos menerbitkan rekomendasi untuk perlindungan terhadapnya.

Ada contoh lain dari eksploitasi tema coronavirus - ancaman nyata infeksi keluarga korban dalam kasus penolakan untuk membayar uang tebusan dalam bitcoin. Untuk meningkatkan efek, untuk memberi arti penting pada surat dan menciptakan rasa kemahakuasaan dari ransomware, kata sandi korban dari salah satu akunnya yang diterima dari basis data login dan kata sandi yang tersedia untuk umum dimasukkan ke dalam teks surat tersebut.

gambar

Dalam satu contoh di atas, saya menunjukkan pesan phishing dari Organisasi Kesehatan Dunia. Dan di sini adalah contoh lain di mana pengguna diminta bantuan keuangan untuk memerangi COVID-19 (meskipun kesalahan dalam kata "DONATIONTION" segera terbukti dalam judul di badan surat itu. Dan mereka meminta bantuan dalam bitcoin untuk melindungi terhadap pelacakan cryptocurrency.

gambar

Dan contoh-contoh seperti itu Ada banyak pengguna yang mengeksploitasi belas kasih pengguna saat ini:

gambar

Bitcoin terhubung ke COVID-19 dengan cara yang berbeda, misalnya, ini adalah cara pengiriman surat yang diterima oleh banyak warga negara Inggris yang duduk di rumah dan tidak dapat menghasilkan uang seperti (di Rusia ini juga akan menjadi relevan sekarang).

gambar

Menyamar sebagai koran terkenal dan situs berita, buletin ini menawarkan uang mudah - menambang cryptocurrency di situs khusus. Bahkan, setelah beberapa waktu Anda menerima pesan yang menyatakan bahwa jumlah yang Anda peroleh dapat ditarik ke akun khusus, tetapi Anda harus mentransfer sejumlah kecil pajak sebelum itu. Jelas bahwa setelah menerima uang ini, scammers tidak mentransfer apa pun sebagai tanggapan, dan pengguna yang mudah tertipu kehilangan uang yang ditransfer.

gambar

Ada ancaman lain terhadap Organisasi Kesehatan Dunia. Peretas meretas pengaturan DNS dari router D-Link dan Linksys, yang sering digunakan oleh pengguna rumahan dan perusahaan kecil, untuk mengarahkan mereka ke situs web palsu dengan peringatan sembul tentang perlunya menginstal aplikasi WHO, yang akan membuat Anda mendapatkan berita terbaru tentang coronavirus. Pada saat yang sama, aplikasi itu sendiri mengandung program Oski yang berbahaya, mencuri informasi.

gambar

Gagasan serupa dengan aplikasi yang mengandung status infeksi COVID-19 saat ini juga dieksploitasi oleh CovidLock Android Trojan, didistribusikan melalui aplikasi yang seharusnya "disertifikasi" oleh Departemen Pendidikan AS, WHO dan Pusat Kontrol dan Penyebaran Epidemi (Diseminasi) (CDC).

gambar

Banyak pengguna saat ini berada dalam isolasi dan, tidak ingin atau tidak tahu cara memasak, secara aktif menggunakan layanan pengiriman makanan, makanan atau barang-barang lainnya, seperti kertas toilet. Penyerang telah menguasai vektor ini untuk tujuan mereka sendiri. Misalnya, ini adalah bagaimana situs berbahaya tampak seperti sumber daya hukum milik Canada Post. Tautan dari SMS yang diterima oleh korban mengarah ke situs web, yang melaporkan bahwa barang pesanan tidak dapat dikirim, karena hanya ada 3 dolar yang hilang, yang harus dibayar. Dalam hal ini, pengguna diarahkan ke halaman di mana Anda harus menentukan rincian kartu kredit Anda ... dengan semua konsekuensi selanjutnya.

gambar

Sebagai kesimpulan, saya ingin memberikan dua contoh lagi ancaman cyber yang terkait dengan COVID-19. Misalnya, plugin "COVID-19 Coronavirus - Plugin Live Map WordPress", "Coronavirus Spread Prediction Graphs" atau "Covid-19" disematkan ke situs-situs pada mesin WordPress yang populer dan, bersama-sama dengan menampilkan peta distribusi coronavirus, juga mengandung program jahat WP-VCD. Dan Zoom perusahaan, yang, seiring dengan semakin banyaknya acara online, telah menjadi sangat, sangat populer dengan apa yang oleh para ahli disebut "Zoombombing." Penyerang, dan bahkan troll porno biasa, terhubung ke obrolan online dan pertemuan online dan menunjukkan berbagai video cabul. Ngomong-ngomong, ancaman yang sama ditemui hari ini oleh perusahaan Rusia.

gambar

Saya pikir kebanyakan dari kita secara teratur memeriksa berbagai sumber, baik resmi maupun tidak, menceritakan tentang status pandemi saat ini. Penyerang mengeksploitasi topik ini, menawarkan kami informasi "terbaru" tentang coronavirus, termasuk informasi "yang disembunyikan pihak berwenang dari Anda." Tetapi bahkan pengguna biasa biasa baru-baru ini sering membantu penyerang dengan mengirimkan fakta terverifikasi dari "kenalan" dan "teman". Psikolog mengatakan bahwa aktivitas pengguna "alarmis" seperti itu yang mengirimkan segala sesuatu yang jatuh ke dalam bidang visi mereka (terutama di jejaring sosial dan pengirim pesan instan yang tidak memiliki mekanisme untuk melindungi terhadap ancaman semacam itu) memungkinkan mereka merasa terlibat dalam perang melawan ancaman global dan , bahkan, merasa seperti pahlawan yang menyelamatkan dunia dari virus corona. Namun, sayangnya, kurangnya pengetahuan khusus mengarah kebahwa niat baik ini “membawa semua orang ke neraka”, menciptakan ancaman baru bagi keamanan dunia maya dan meningkatkan jumlah korban.

Bahkan, saya masih bisa melanjutkan contoh-contoh ancaman cyber yang terkait dengan coronavirus; selain itu, penjahat dunia maya tidak tinggal diam dan menemukan cara-cara baru yang semakin banyak untuk mengeksploitasi hasrat manusia. Tapi saya pikir Anda bisa berhenti di situ. Gambarannya sudah jelas dan memberi tahu kita bahwa dalam waktu dekat situasinya hanya akan memburuk. Kemarin, pihak berwenang Moskow memindahkan kota dengan populasi sepuluh juta ke pengasingan sendiri. Otoritas Wilayah Moskow dan banyak wilayah lain di Rusia, serta tetangga terdekat kami di bekas ruang pasca-Soviet, melakukan hal yang sama. Ini berarti bahwa jumlah calon korban yang akan diarahkan pada upaya penjahat cyber akan meningkat beberapa kali. Oleh karena itu, ada baiknya tidak hanya meninjau strategi keamanan Anda, sampai saat ini fokus hanya melindungi jaringan perusahaan atau departemen, dan mengevaluasisarana perlindungan apa yang tidak cukup Anda miliki, tetapi juga pertimbangkan contoh-contoh di atas dalam program kepekaan personel Anda, yang menjadi bagian penting dari sistem keamanan informasi untuk pekerja jarak jauh. DANCisco siap membantu Anda dengan ini!

Ancaman. Dalam mempersiapkan bahan ini, kami menggunakan bahan-bahan dari Cisco Talos, Naked Security, Antiphishing, Malwarebytes Lab, ZoneAlarm, Reason Security dan RiskIQ, Departemen Kehakiman AS, Komputer Bleeping, Komputer Security, Anti-Fairairs, dll. P.

More articles:


All Articles