Пресс-центр

СyberART: дайджест актуальных угроз кибербезопасности в условиях пандемии COVID-19

Новости компании
Киберпреступники на протяжении нескольких недель активно эксплуатируют тематику пандемии коронавируса, используя недостаточную осведомлённость населения в вопросах обеспечения кибербезопасности и защиты от фишинговых атак. Злоумышленники применяют все доступные методы, чтобы скомпрометировать корпоративные учётные записи пользователей, которые находятся на удалённой работе, либо обманом выманивают у пользователей персональные сведения для кражи банковских данных и денег. 

Центр мониторинга и реагирования на компьютерные инциденты CyberART, входящий в ГК InnoSTage, подготовил обзор актуальных кибератак, возникших на волне коронавируса. Он включает в себя:
• основные типы атак: фишинговые спам-рассылки; вредоносное программное обеспечение; фишинговые сайты; атаки на инфраструктуру организации; 
• примеры; 
• статистику. 
Все то, о чем важно знать компаниям и сотрудникам, находящимся в режиме «хоум-офиса», чтобы избежать потенциальных инцидентов. 

С середины февраля наблюдается непрерывный рост числа атак, связанных с COVID-19. За последнее время их число резко возросло с нескольких сотен до более чем 5 000 в день. 

image
Рис. 1: Количество компьютерных атак, связанных с COVID-19
Атаки, связанные с коронавирусом можно сгруппировать на следующие основные типы: • фишинговые спам-рассылки по электронной почте на темы пандемии; 
• вредоносное программное обеспечение, с отсылкой к COVID-19; 
• фишинговые сайты, с упоминанием в названии коронавируса и всего что с ним связанно (например, часто используются такие слова как «covid», «corona», «mask» и др.). 

Спам в этом списке занимает первое место — на него приходится 65,7% атак, на втором месте находятся атаки с применением вредоносного ПО, включая трояны и программы-вымогатели (с 26,8%); на третьем месте по частоте выявления (7,5%) вредоносные сайты (URL) 

image
Рис. 2: Доля атак по направлениям
Также наблюдается рост угроз, связанных с атаками на инфраструктуры организаций, которые перевели своих сотрудников на удалённую работу в связи с карантином, введённым из-за коронавируса.
Фишинговые спам-рассылки 
Фишинг относится к самой популярной форме интернет-мошенничеств. Его главная цель – получение доступа к конфиденциальным сведениям, включая персональные данные, служебные записи, пароли от платежных систем и банковских карт. Для получения необходимых материалов мошенникам нужно, чтобы человек прошел по ложной ссылке в письме и оставил на сайте-подделке личную информацию или открыл на своём устройстве вредоносное вложение в письмо. Для этого преступники используют разные уловки – от обещаний, до угроз и запугиваний. 

Сейчас преступники спекулируют на страхах, связанных с пандемией коронавируса, используя разные сценарии. Так, например, письма приходят якобы от местных медучреждений и утверждают, что получатель какое-то время находился рядом с источником вируса. Фишеры убедительно рекомендуют получателю письма провериться самому. Для этого прикрепляется специальное вложение, которое необходимо открыть, распечатать и принести в ближайшую больницу. 

Специалисты Департамента информационных технологий города Москвы проанализировали и выделили следующие основные сценарии фишинговых рассылок на тему коронавируса: 

• «Письмо из ООН». Письма якобы от имени официальных международных организаций и государственных органов — ВОЗ, ООН, МВФ и даже МКС. 

• Сообщения с общеизвестной информацией о мерах безопасности или статистике заболеваний с приложенной к ним ссылкой на фишинговый сайт. 

• Кампании по сбору денег. Пользователям приходят письма-призывы присоединиться к акциям по сбору средств для заболевших, эвакуации наших граждан из зарубежных стран, разработки вакцины против вируса и даже для спасения мировой экономики. Предлагается перечислить небольшие суммы, после чего происходит хищение денег и данных для доступа к платежным системам и банковским картам. 

• Продажа «дефицитных» товаров. Пользуясь ажиотажным спросом, мошенники предлагают купить медикаменты, средства профилактики и гигиены, рекомендованные для защиты от коронавируса: индивидуальные маски, антисептики, перчатки. После оформления покупки происходит кража денег и банковских данных. 

• Тест на коронавирус. Тесты на определение коронавируса или вакцина от него – это фейковое предложение для состоятельных пользователей. После оформления покупки происходит кража денег и банковских данных. 

• Уведомления от туроператоров. Письма от имени туроператоров, транспортных организаций, страховых компаний о возврате денежных средств за путевки, билеты, страховые полисы — еще одна актуальная сейчас схема выманивания персональных сведений у граждан. Пользователю предложат заполнить какое-либо заявление с указанием необходимых данных. 

• Удаленная работа. С переходом на удаленную работу участились случаи рассылки писем от корпоративной техподдержки, банков, госорганов с уведомлением о смене режима и предложением воспользоваться ссылками для дистанционного подключения к служебным ресурсам. Преступники получают учетные данные пользователей и атакуют в дальнейшем информационные системы организаций. 

Вредоносное программное обеспечение
Активизировались по теме коронавируса и «вирусописатели», которые распространяют через фишинговые кампании своё вредоносное программное обеспечение. Так, например, банковский троян Zeus Sphinx (он же Zloader и Terdot) снова активен после нескольких лет бездействия и теперь эксплуатирует пандемию коронавируса в своих интересах. 

Для распространения этого трояна злоумышленники в своих спамерских письмах утверждают, что пользователи имеют право на получение правительственной помощи. Для получения средств якобы необходимо заполнить специальную форму, которая прилагается к посланию в формате .DOC или .DOCX. При загрузке и открытии такой документ информирует жертву о необходимости включить макросы, которые, в свою очередь, подключаются к управляющему серверу и запускают вредонос Zeus Sphinx. 

Выявлено распространение и такого класса вредоносного программного обеспечения как «вайперы» (wiper, от английского to wipe — «стирать»), которые ориентированы на уничтожение информации, а не на финансовую выгоду. Эти вредоносы целенаправленно уничтожают данные пострадавших пользователей и перезаписывают MBR (Master Boot Record) на компьютере жертвы, что препятствует запуску и восстановлению системы. Пытаясь эксплуатировать тему пандемии, они распространяются как файлы с именами, содержащими в своём названии слова связанные с коронавирусом, (например, «COVID-19.exe»), а также демонстрируют в процессе своей работы изображения коронавируса. 




Фишинговые сайты 
С января 2020 года в сети Интернет было зарегистрировано более 51 000 новых доменных имён, связанных с коронавирусом, из них более 30 000 было зарегистрировано за последние две недели. Около 10% (более 2900) вновь зарегистрированных доменных имён были сразу признаны вредоносными или подозрительными так как они связаны с известными ресурсами – источниками киберугроз. 
Российский сегмент Интернета не является исключением. К началу апреля в рунете активно регистрировались домены, содержащие в названии слова, связанные с COVID-19, а именно: 
• 257 доменов со словами «coronavirus», из которых 170 отнесены к вредоносным; 
• 271 домен со словами «covid», из которых к вредоносным отнесены 121; 
• 349 доменов со словами «mask» (и их число постоянно растет), из которых 9 классифицированы как вредоносные и 1 как фишинговый. 

image
Рис. 4: Количество доменов, связанных с COVID-19

Классификация вредоносных доменов пока носит предварительный характер, так как многие из них только зарегистрированы, но еще никак не используются злоумышленниками. 
Кроме того, за последние несколько недель значительно увеличилось количество регистраций новых доменов с именами, содержащими слово «Zoom» – название самого распространённого в мире сервиса для проведения видеоконференций, онлайн-встреч и дистанционного обучения. С начала года было зарегистрировано более 1700 новых доменов, 25% из них были зарегистрированы за последнюю неделю, при этом для 4% зарегистрированных доменов уже осуществляется подозрительная активность. 

При этом, «Zoom» – не единственный сервис, привлекающий сейчас внимание киберпреступников. Новые фишинговые веб-сайты были обнаружены для каждого ведущего коммуникационного приложения, включая официальный веб-сайт «classroom.google.com», имитируемый такими доменами как «googloclassroom_.com» и «googieclassroom_.com», а также для онлайн-кинотеатров и других мультимедиа сервисов, таких как Netflix. 

Сценарий эксплуатации для всех фишинговых сайтов примерно одинаковый — человека «заманивают» на сайт, а при переходе на него предлагают ввести свои персональные данные, после чего происходит их хищение или при переходе на такой сайт осуществляется заражение вредоносными программами пользовательских устройств — смартфонов, компьютеров, планшетов. 

Атака на инфраструктуру организации 
В связи с введением режима карантина и необходимостью в кратчайший срок перевести большое количество сотрудников на удалённый режим работы, ИТ-специалисты часто вынуждены пренебрегать защитой информации или допускают ошибки при организации удалённого доступа, и открывают тем самым для злоумышленников доступ к внутренней ИТ-инфраструктуре и к корпоративным данным. 

Эксперты Positive Technologies подсчитали , что всего за три недели (с конца февраля 2020 года) количество ресурсов в сети Интернет предоставляющих доступ к службам удалённых рабочих столов Windows (RDP), увеличилось на 9% и составило более 112 000. Число таких ресурсов растёт и в мире, и в России. При этом свыше 10% из них уязвимы перед проблемой BlueKeep , которая позволяет атакующему получить полный контроль над компьютером жертвы. 

image
Рис. 5: Рост количества устройств доступных через RDP (мир)
image
Рис. 6: Рост количества устройств доступных через RDP (Россия)
Ключевыми проблемами безопасности при организации удалённого доступа является слабая защищённость пользовательских устройств и домашних сетей, используемых сотрудниками для удалённой работы, а также ошибки в конфигурации систем удалённого доступа и применение устаревшего программного обеспечения, позволяющего злоумышленникам провести атаку через имеющиеся в нём уязвимости.
Кроме этого, одной из самых обсуждаемых тем последних дней стало обнаружение уязвимостей в сервисе ZOOM, который сейчас активно используется корпоративными клиентами для организации видеоконференций в условиях удалённой работы. Эта уязвимость может привести к компрометации данных учетной записи пользователя в операционной системе и исполнению вредоносного кода на локальной машине пользователя ZOOM . 

Вывод 
Надо отметить, что совершенно новых угроз, связанных с коронавирусом, не возникло. Пандемия стала лишь инфоповодом, с помощью которого активизировались традиционные векторы атак. Методы противодействия данным угрозам также остаются прежними: повышение осведомлённости пользователей в вопросах киберзащиты, использование актуального программного обеспечения и комплексных средств защиты информации; применение мер по анализу защищённости и мониторингу кибербезопасности для выявления и устранения уязвимостей и компьютерных инцидентов.


Источники: 
- https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/coronavirus-used-in-spam-malware-file-names-and-malicious-domains - - http://www.itsec.ru/news/dit-covid-19-priviol-k-rostu-chisla-moshennichestv - - https://xakep.ru/2020/04/01/sphinx-still-alive/ https://xakep.ru/2020/04/03/covid-wipers/ https://blog.checkpoint.com/2020/04/02/coronavirus-update-in-the-cyber-world-the-graph-has-yet-to-flatten/ https://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/ https://www.ptsecurity.com/ru-ru/about/news/zloumyshlenniki-mogut-poluchit-dostup-k-kazhdomu-desyatomu-otkrytomu-udalennomu-rabochemu-stolu/ - - https://habr.com/ru/company/solarsecurity/news/t/495222/ - - https://habr.com/ru/company/cisco/blog/495210/