Get best of the week

Exploração do tema do coronavírus nas ameaças de SI

Hoje, o tema do coronavírus preencheu todos os feeds de notícias e também se tornou o principal motivo para as várias atividades de cibercriminosos que exploram o tema do COVID-19 e tudo relacionado a ele. Nesta nota, gostaria de chamar a atenção para alguns exemplos dessa atividade maliciosa, que, obviamente, não é segredo para muitos especialistas em segurança da informação, mas cuja redução em uma nota facilitará a preparação de minhas próprias atividades de conscientização para os funcionários, alguns dos quais trabalham remotamente e mais suscetível a várias ameaças à segurança da informação do que antes.

imagem

Minuto de Cuidados com OVNI


A pandemia de COVID-19, uma infecção respiratória aguda potencialmente grave causada pelo coronavírus SARS-CoV-2 (2019-nCoV), foi anunciada oficialmente no mundo. Há muitas informações sobre Habré sobre esse tópico - lembre-se sempre de que pode ser confiável / útil e vice-versa.

Pedimos que você seja crítico com qualquer informação publicada.


Fontes oficiais

Se você não mora na Rússia, consulte sites semelhantes no seu país.

Lave as mãos, cuide de seus entes queridos, fique em casa sempre que possível e trabalhe remotamente.

Leia publicações sobre: coronavírus | trabalho remoto

Note-se que hoje não existem ameaças completamente novas associadas ao coronavírus. Em vez disso, estamos falando de vetores de ataque já tradicionais, usados ​​apenas com um novo "molho". Então, os principais tipos de ameaças que eu chamaria:

  • sites de phishing de coronavírus e correspondências e códigos maliciosos relacionados
  • fraude e desinformação destinadas a explorar o medo ou informações incompletas sobre o COVID-19
  • ataques contra organizações de pesquisa de coronavírus

Na Rússia, onde os cidadãos tradicionalmente não confiam nas autoridades e acreditam que estão escondendo a verdade delas, a probabilidade de uma "promoção" bem-sucedida de sites de phishing e boletins, além de recursos fraudulentos, é muito maior do que em países com autoridades mais abertas. Embora hoje em dia ninguém possa se considerar absolutamente protegido de fraudadores cibernéticos com mente criativa que usam todas as fraquezas humanas humanas clássicas - medo, compaixão, ganância etc.

Tomemos, por exemplo, um site fraudulento que venda máscaras médicas.

imagem

Um site semelhante, o CoronavirusMedicalkit [.] Com, foi fechado pelas autoridades dos EUA para distribuição gratuita de uma vacina inexistente contra o COVID-19, com pagamento de "apenas" postagem para o envio do medicamento. Nesse caso, a um preço tão baixo, o cálculo foi feito na demanda urgente por medicamentos em meio ao pânico nos Estados Unidos.

imagem

Essa não é uma ameaça cibernética clássica, pois a tarefa dos invasores, neste caso, não é infectar os usuários e não roubar seus dados pessoais ou informações de identificação, mas apenas com o medo de fazê-los comprar e comprar máscaras médicas a preços inflacionados de 5 a 10 a 30 vezes. exceder o valor real. Mas a própria idéia de criar um site falso que explora o tema do coronavírus também é usada pelos cibercriminosos. Por exemplo, aqui está um site cujo nome contém a palavra-chave "covid19", mas que é phishing.

imagem

Em geral, monitorando nosso serviço de investigação de incidentes Cisco Umbrella Investigate diariamente, você vê quantos domínios estão sendo criados cujos nomes contêm as palavras covid, covid19, coronavirus etc. E muitos deles são maliciosos.

imagem

Nas condições em que uma parte dos funcionários da empresa é transferida para trabalhar em casa e eles não são protegidos por recursos corporativos, é mais importante do que nunca monitorar os recursos acessados ​​a partir de dispositivos móveis e fixos dos funcionários, conscientemente ou sem seu conhecimento. Se você não usar o serviço Cisco Umbrella para detectar e bloquear esses domínios (e a Cisco ofereceagora conexão gratuita com esse serviço) e, pelo menos, configure suas soluções de monitoramento de acesso à Web para controle de domínio com as palavras-chave correspondentes. Ao mesmo tempo, lembre-se de que a abordagem tradicional de domínios da lista negra, além de usar bancos de dados de reputação, pode falhar, pois domínios maliciosos são criados muito rapidamente e são usados ​​em apenas 1-2 ataques por não mais do que várias horas; domínios de um dia. As empresas de segurança da informação simplesmente não têm tempo para atualizar rapidamente suas bases de conhecimento e distribuí-las a todos os seus clientes.

Os invasores continuam a explorar ativamente o canal de email para distribuir links de phishing e malware em anexos. E sua eficácia é bastante alta, pois os usuários, recebendo boletins bastante legítimos sobre o coronavírus, nem sempre reconhecem algo prejudicial em seu volume. E embora o número de pessoas infectadas esteja apenas aumentando, o espectro dessas ameaças também aumentará.

Por exemplo, aqui está um exemplo de uma campanha de phishing em nome do Epidemic Control Center (CDC):

imagem

clicar no link obviamente não leva ao site do CDC, mas a uma página falsa que rouba o nome de usuário e a senha da vítima:

imagem

veja um exemplo de uma campanha de phishing supostamente em nome de Organização Mundial de Saúde:

imagem

E neste exemplo, os atacantes confiam no fato de que muitas pessoas acreditam que as autoridades estão escondendo a verdadeira extensão da infecção e, portanto, os usuários com prazer e quase sem hesitação clicam nessas cartas com links ou anexos maliciosos que supostamente revelam todos os segredos.

imagem

A propósito, existe um site da Worldometer que permite rastrear vários indicadores, por exemplo, mortalidade, número de fumantes, população em diferentes países, etc. Há também uma página no site dedicada ao coronavírus. Então, quando o visitei no dia 16 de março, vi uma página que me fez duvidar por um momento que as autoridades estavam nos dizendo a verdade (não sei qual é o motivo desses números, talvez apenas um erro):

imagem

Uma das infraestruturas populares que os cibercriminosos usam para enviar e-mails semelhantes é o Emotet, uma das ameaças mais perigosas e populares dos últimos tempos. Os documentos do Word incorporados nas mensagens de email contêm os downloaders do Emotet, que carregam novos módulos maliciosos no computador da vítima. Inicialmente, o Emotet era usado para promover links para sites fraudulentos que vendiam máscaras médicas e era destinado a residentes do Japão. Abaixo, você vê o resultado da análise de arquivo de malware usando a sandbox do Cisco Threat Grid , que analisa arquivos em busca de malware.

imagem

Mas os invasores exploram não apenas a capacidade de executar no MS Word, mas também em outros aplicativos da Microsoft, por exemplo, no MS Excel (o grupo de hackers APT36 agia assim), enviando recomendações sobre o combate ao coronavírus do governo da Índia, contendo o Crimson RAT:

imagem

outra campanha maliciosa que explora o tema do coronavírus é o Nanocore RAT, que permite instalar programas para acesso remoto nos computadores das vítimas que interceptam pressionamentos de tecla, capturam imagens de tela, acessam arquivos, etc.

imagem

E o Nanocore RAT geralmente é entregue por email. Por exemplo, abaixo, você vê um exemplo de mensagem de email com um arquivo ZIP anexado que contém um arquivo PIF executável. Ao clicar no arquivo executável, a vítima instala a Ferramenta de acesso remoto (RAT) em seu computador.

imagem

Aqui está outro exemplo de uma campanha parasitária sobre o tema do COVID-19. O usuário recebe uma carta sobre o suposto atraso na entrega devido ao coronavírus com uma conta anexada com a extensão .pdf.ace. Dentro do arquivo compactado, há um conteúdo executável que estabelece uma conexão com o servidor de comandos para receber comandos adicionais e cumprir outros objetivos dos atacantes.

imagem

O Parallax RAT possui uma funcionalidade semelhante, que distribui um arquivo chamado "novo CORONAVIRUS sky 02/03 / 2020.pif" infectado e que instala um programa malicioso que interage com seu servidor de comando por meio do protocolo DNS. As ferramentas de segurança da classe EDR, como o Cisco AMP for Endpoints , ajudarão a combater esses programas de acesso remoto , e as ferramentas de monitoramento NGFW (por exemplo, Cisco Firepower ) ou DNS (por exemplo, Cisco Umbrella ) podem ajudar a monitorar as comunicações com os servidores de comando .

No exemplo abaixo, o malware de acesso remoto foi instalado no computador da vítima, que, por algum motivo desconhecido, foi comprado por um anúncio afirmando que um programa antivírus comum instalado em um PC pode proteger contra o COVID-19 real. E, afinal, alguém foi levado a uma piada aparentemente.

imagem

Mas entre os programas maliciosos também existem coisas realmente estranhas. Por exemplo, arquivos de piada que simulam o trabalho dos criptografadores. Em um caso, nossa divisão Cisco Talos descobriu um arquivo chamado CoronaVirus.exe que bloqueia a tela em tempo de execução e inicia um temporizador e a mensagem "excluir todos os arquivos e pastas deste computador é coronavírus".

imagem

No final da contagem regressiva, o botão na parte inferior se tornou ativo e, quando pressionado, a seguinte mensagem era exibida dizendo que tudo isso era uma piada e Alt + F12 deve ser pressionado para finalizar o programa.

imagem

As campanhas antimalware podem ser automatizadas, por exemplo, usando o Cisco E-mail Security, que permite detectar não apenas conteúdo malicioso nos anexos, mas também rastrear links de phishing e cliques neles. Mas mesmo nesse caso, não se deve esquecer o treinamento do usuário, simulações regulares de phishing e truques cibernéticos que preparam os usuários para vários truques de criminosos cibernéticos contra seus usuários. Especialmente se eles trabalham remotamente e através de suas mensagens pessoais, códigos maliciosos podem penetrar na rede corporativa ou departamental. Aqui, eu poderia recomendar a nova solução da Cisco Security Awareness Tool , que permite não apenas realizar micro e nano treinamento de pessoal em questões de segurança da informação, mas também organizar simulações de phishing para eles.

Mas se, por algum motivo, você não estiver pronto para usar essas soluções, pelo menos organize listas de e-mails regulares para seus funcionários, lembrando o perigo de phishing, seus exemplos e uma lista de regras de comportamento seguro (o principal é que os atacantes não se disfarçam como ) A propósito, um dos possíveis riscos no momento são as correspondências de phishing, disfarçadas de cartas de sua gerência, que supostamente falam sobre novas regras e procedimentos para trabalho remoto, software obrigatório que deve ser instalado em computadores remotos etc. E não esqueça que, além do email, os cibercriminosos podem usar mensageiros instantâneos e redes sociais.

Uma lista de discussão ou programa de conscientização pode incluir o exemplo clássico de um mapa falso de infecção por coronavírus semelhante ao lançado pela Universidade Johns Hopkins. A diferença no cartão malicioso era que, ao acessar o site de phishing, o malware era instalado no computador do usuário, que roubava credenciais do usuário e enviado aos criminosos cibernéticos. Uma das variedades desse programa também criou conexões RDP para acesso remoto ao computador da vítima.

imagem

Falando em RDP. Esse é outro vetor para ataques que os atacantes estão começando a usar mais ativamente durante a pandemia de coronavírus. Ao mudar para o trabalho remoto, muitas empresas usam serviços como o RDP, que, se estiverem incorretos devido à pressa de configurar, podem levar à penetração de criminosos cibernéticos nos computadores remotos do usuário e dentro da infraestrutura corporativa. Além disso, mesmo com a configuração adequada, em várias implementações de RDP, pode haver vulnerabilidades usadas por criminosos cibernéticos. Por exemplo, o Cisco Talos descobriuvárias vulnerabilidades no FreeRDP, e a vulnerabilidade crítica CVE-2019-0708 foi descoberta no serviço de área de trabalho remota Miscrosoft em maio do ano passado, o que permitiu a execução de código arbitrário no computador da vítima, a introdução de malware etc. Um boletim informativo sobre isso foi distribuído até pela NCCA e, por exemplo, a Cisco Talos publicou recomendações para proteção contra ela.

Há outro exemplo de exploração do tema do coronavírus - a ameaça real de infecção da família da vítima em caso de recusa em pagar o resgate em bitcoins. Para aprimorar o efeito, dar significado à letra e criar uma sensação de onipotência do ransomware, a senha da vítima de uma de suas contas obtida em bancos de dados de logins e senhas publicamente disponíveis foi inserida no texto da carta.

imagem

No exemplo acima, mostrei uma mensagem de phishing da Organização Mundial da Saúde. E aqui está outro exemplo em que os usuários são convidados para a assistência financeira ao combate COVID-19 (embora o erro na palavra “DONATIONTION” é imediatamente evidente no título no corpo da carta. E eles pedir ajuda em bitcoins para proteção contra rastreamento criptomoeda.

imagem

E tais exemplos Atualmente, existem muitos usuários que exploram a compaixão dos usuários: os

imagem

Bitcoins estão conectados ao COVID-19 de uma maneira diferente; por exemplo, é assim que as correspondências recebidas por muitos cidadãos do Reino Unido que ficam em casa e não podem ganhar dinheiro são parecidas (na Rússia, isso também se tornará relevante agora).

imagem

Disfarçando-se de jornais e sites de notícias conhecidos, esses boletins oferecem dinheiro fácil - mineração de criptomoedas em sites especiais. De fato, depois de algum tempo, você recebe uma mensagem informando que o valor ganho pode ser retirado para uma conta especial, mas você precisa transferir uma pequena quantidade de impostos antes disso. É claro que, depois de receber esse dinheiro, os golpistas não transferem nada em resposta e um usuário crédulo perde o dinheiro transferido.

imagem

Há outra ameaça à Organização Mundial da Saúde. Os hackers invadiram as configurações de DNS dos roteadores D-Link e Linksys, geralmente usados ​​por usuários domésticos e pequenas empresas, a fim de redirecioná-los para um site falso com um aviso pop-up sobre a necessidade de instalar um aplicativo da OMS, que permitirá que você esteja sempre atualizado com as últimas notícias sobre o coronavírus. Ao mesmo tempo, o próprio aplicativo continha o programa prejudicial da Oski, roubando informações.

imagem

Uma idéia semelhante ao aplicativo que contém o status atual da infecção por COVID-19 também é explorada pelo Trojan CovidLock Android, distribuído por um aplicativo que é supostamente "certificado" pelo Departamento de Educação dos EUA, OMS e pelo Centro de Controle e Disseminação de Epidemias (CDC).

imagem

Hoje, muitos usuários estão isolados e, não querendo ou não saber cozinhar, usam ativamente os serviços de entrega de alimentos, alimentos ou outros bens, como papel higiênico. Os atacantes dominaram esse vetor para seus próprios propósitos. Por exemplo, é assim que um site malicioso se parece com um recurso legal pertencente ao Canada Post. O link do SMS recebido pela vítima leva ao site, que informa que as mercadorias encomendadas não podem ser entregues, pois faltam apenas 3 dólares, que devem ser pagos. Nesse caso, o usuário é direcionado para a página em que você precisa especificar os detalhes do seu cartão de crédito ... com todas as conseqüências resultantes.

imagem

Concluindo, gostaria de dar mais dois exemplos de ameaças cibernéticas associadas ao COVID-19. Por exemplo, os plugins "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" ou "Covid-19" são incorporados a sites no popular mecanismo WordPress e, juntamente com a exibição do mapa de distribuição do coronavírus, também contêm o programa malicioso WP-VCD. E a empresa Zoom, que, após o crescente número de eventos on-line, se tornou muito, muito popular entre o que os especialistas chamam de "Zoombombing". Os invasores e, na verdade, trolls pornôs comuns, se conectavam a bate-papos e reuniões on-line e exibiam vários vídeos obscenos. A propósito, uma ameaça semelhante é encontrada hoje pelas empresas russas.

imagem

Acho que a maioria de nós verifica regularmente vários recursos, oficiais e não muito, falando sobre o status atual da pandemia. Os invasores exploram esse tópico, oferecendo as informações "mais recentes" sobre o coronavírus, incluindo informações "que as autoridades estão escondendo de você". Porém, mesmo usuários comuns comuns recentemente ajudam frequentemente os atacantes enviando fatos verificados de "conhecidos" e "amigos". Os psicólogos dizem que essa atividade de usuários "alarmistas" que enviam tudo o que cai em seu campo de visão (especialmente em redes sociais e mensageiros que não possuem mecanismos de proteção contra tais ameaças) permite que se sintam envolvidos na luta contra a ameaça global e até parecem heróis salvando o mundo de um coronavírus. Infelizmente, porém, a falta de conhecimento especializado leva aque essas boas intenções "levam todos ao inferno", criando novas ameaças à segurança cibernética e aumentando o número de vítimas.

Na verdade, eu ainda poderia continuar os exemplos de ameaças cibernéticas associadas ao coronavírus; além disso, os cibercriminosos não param e criam novas e mais maneiras de explorar as paixões humanas. Mas acho que você pode parar por aí. A imagem já está clara e nos diz que, em um futuro próximo, a situação só piorará. Ontem, as autoridades de Moscou transferiram a cidade com uma população de dez milhões para o auto-isolamento. As autoridades da região de Moscou e muitas outras regiões da Rússia, bem como nossos vizinhos mais próximos no antigo espaço pós-soviético, fizeram o mesmo. Isso significa que o número de vítimas em potencial para quem os esforços dos cibercriminosos serão direcionados aumentará muitas vezes. Portanto, vale a pena não apenas revisar sua estratégia de segurança, até recentemente focada em proteger apenas a rede corporativa ou departamental, e avaliarquais meios de proteção você não tem o suficiente, mas também considere os exemplos acima em seu programa de conscientização de pessoal, que está se tornando uma parte importante do sistema de segurança da informação para trabalhadores remotos. EA Cisco está pronta para ajudá-lo com isso!

Ameaça. Ao preparar esse material, usamos materiais do Cisco Talos, Naked Security, Antiphishing, Malwarebytes Lab, ZoneAlarm, Reason Security and RiskIQ, Departamento de Justiça dos EUA, Computador de bip, SecurityAffairs, etc. P.

More articles:


All Articles