Cybercriminals Målrette helseorganisasjoner som bekjemper Coronavirus

Verden er midt i en pandemi. Coronavirus har spredd seg globalt og har hevdet en svimlende mengde ofre. Folk er redde og usikre på hva de skal gjøre og hva som skal komme. I disse usikre tider har en ting forblitt en konstant - alle er enige om at folket som kjemper mot pandemien fra første hånd er helter. Sykepleiere, leger, forskere, medisinsk fagfolk i frontlinjen, gjør sitt beste for å hjelpe. Dette er mennesker som er verdige til respekt generelt, men enda mer - så fortjener det nå. Mange av dem har gjort det daglige selv uten riktig verneutstyr fordi de ikke vil vende ryggen til de menneskene som trenger dem mest. De risikerer sitt eget liv å hjelpe de som er i nød. Det er verdig beundring.

Dessverre er det noen som ikke bryr seg om offer, offentlig plikt og vanlig anstendighet. Det er nettkriminelle som ser det som passer å sette overskudd i forhold til mennesker. Crooks, som ikke bryr seg om unntakstilstanden de fleste land er i, og tilstanden i panikk nesten alle individer er i, uten stopp. Disse ondsinnede personene har bestemt at nå er det på tide å slippe løs malvertiseringskampanjer. Ikke bare det, men angrep rettet mot de vi trenger mest - helsepersonell, som kjemper mot det fryktede Coronavirus. De har sluppet løs angrepene sine på sykehus, helseorganisasjoner og medisinske leverandører, og medisinsk fagpersonell lider av det. I stedet for å fokusere på å hjelpe mennesker, blir de distrahert av grusomhet fra nettkreker.

Ingen tid som nåtiden for en rask kontantfangst

De ondsinnede individene løsnet sine ondskapsfulle angrep på dem som prøver å beskytte oss mot viruset. Malware-forskere avdekket to nylige kampanjer med notater - en mot to kanadiske virksomheter: en statlig helseorganisasjon og et medisinsk forskningsuniversitet. Og den andre kastet et bredt nett og rettet mot medisinske organisasjoner og medisinske forskningsanlegg over hele verden.

Crooks sendte ut en rekke e-postmeldinger til organisasjonene og maskerte dem som legitime. De hevdet sin legitimitet ved å hevde å inneholde COVID-19-relatert informasjon. Mer spesifikt, data om medisinsk forsyning, detaljer fra Verdens helseorganisasjon (WHO), eller viktig bedriftskommunikasjon angående viruset. Uansett hvilken front e-posten la ut, forble det virkelige målet det samme - å spre skadelig programvare. Nettkriminelle lastet disse e-postene med ransomware, info-stjeler, trojanere og mer. Alt i navnet på en rask kontantstigning.

ransomware skader
Skildring av økningen i lønnsomheten til ransomware fra år til år. Kilde: gdatasoftware.com

Innlegg og uttak av phishingangrepene

I slutten av mars, nærmere bestemt mellom 24. og 30. mars, merket forskere visse særegenheter rundt COVID-19-relaterte angrep . Det var flere angrep forsøkt rettet mot folk som var aktivt engasjert i å bekjempe Coronavirus. Som nevnt var cyberkriminellers første forsøk på et angrep rettet mot enkeltpersoner, koblet til en ikke navngitt kanadisk regjerings helseorganisasjon, involvert i COVID-19 responsinnsats. Og deres andre rettet mot et kanadisk universitet som var ansvarlig for å utføre COVID-19-forskning.

De ondsinnede e-postene gjorde sitt beste for å etterligne legitime. De forfalsket en faktisk WHOs e-postadresse (noreply @ who [.] Int) og inneholdt en RTF-fil (rich text format) som visstnok hadde informasjon relatert til pandemien.

Å åpne denne e-posten er en feil. Å åpne RTF er en enda større feil.

Etter at RTF-filen åpnes, prøver den å levere en nyttelast til ransomware til systemet ditt. Nyttelasten utnytter et kjent sårbarhet (CVE-2012-0158) i Microsoft Office. Den lar angriperne utføre vilkårlig kode.

Hvis du åpner det ondsinnede vedlegget, slipper det og kjører et binært ransomware-programvare til disk på C: \ Users \ \ AppData \ Local \ svchost.exe . Den droppede binæren gjør sitt beste for å forbli uoppdaget fra deg. Den har et skjult attributt som blir brukt når noe innhold er foreldet og ikke lenger er nødvendig. Og det klarer å skjule detaljer for deg, brukeren. Binæren bruker dessuten et Adobe Acrobat-ikon i et ytterligere forsøk på å kappe det faktiske målet.

Malware, RTF-filen skjuler, ser ut til å være en åpen kildekode ransomware-variant med navnet EDA2. Den infeksjonen er en del av en større, mer illevarslende, ransomware-familie - den fra HiddenTear. Hvis navnet ringer en bjelle, er det ingen overraskelse. HiddenTear-trusselen er en behemoth som har hevdet utallige ofre.

Så snart den binære blir kjørt, blir en HTTP GET-forespørsel for ressurstempinfo.96 [.] Lt / wras / RANSOM20.jpg igangsatt. Infeksjonen smeller på et varsel vises på skrivebordet for å indikere at du har problemer - 'DIN PC ER LÅST.' Meldingen den inneholder lyder: 'Hvis du vil låse opp filene dine, må du sende .35 BTC [Bitcoin] til denne adressen.' Deretter overlater du den aktuelle adressen. For å avklare, når denne artikkelen skrives, tilsvarer 0,35 Bitcoin 2,670,13 USD.

løsepenger20 løsepenger
Bilde av varselmeldingen om ransomware. Kilde: unit42.paloaltonetworks.com

Bildet blir lagret på disken på C: \ Brukere \ \ ransom20.jpg , som er det som gjør det mulig å erstatte det originale skrivebordsbakgrunnen.

Binært ransomware krypterer en rekke filendelser, inkludert '.DOC', '.ZIP', '. PPT 'og mer. Forskere bemerker at denne binære ransomwaren har en betydelig begrensning. Den er hardkodet bare for å kryptere filer og kataloger som er på offerets skrivebord.

Her er en liste over de forskjellige filtypene, som ransomware binær krypterer:

'.abw', '.aww', '.chm', '.dbx', '.djvu', '.doc', '.docm', '.docx', '.dot', '.dotm', '.dotx', '.epub', '.gp4', '.ind', '.indd', '.key', '.keynote', '.mht', '.mpp', '.odf', '.ods', '.odt', '.ott', '.oxps', '.pages', '.pdf', '.pmd', '.pot', '.potx', '.pps', ' '.ppsx', '.ppt', '.pptm', '.pptx', '.prn', '.prproj', '.ps', '.pub', '.pwi', '.rtf', ' '.sdd', '.sdw', '.shs', '.snp', '.sxw', '.tpl', '.vsd', '.wpd', '.wps', '.wri', ' '.xps', '.bak', '.bbb', '.bkf', '.bkp', '.dbk', '.gho', '.iso', '.json', '.mdbackup', ' '.nba', '.nbf', '.nco', '.nrg', '.old', '.rar', '.sbf', '.sbu', '.spb', '.spba', ' '.tib', '.wbcat', '.zip', '7z', '.dll', '.dbf'

Infeksjonens krypteringsalgoritme er enkel, men effektiv. Alle filene dine blir låst og omdøpt med utvidelsen '.locked20.' Du kan se kildekoden for ransomware på bildet nedenfor.

ransom20-kode
Krypteringskildekoden til ransomware. Kilde: unit42.paloaltonetworks.com

Etter at den eksterne kommandoen og kontrollserveren (også kalt C&C eller C2) greier å få tak i dataene dine, oppretter den en tilpasset nøkkel basert på brukernavn / vertsnavndetaljer. Den fortsetter å sende den nøkkelen tilbake til den infiserte verten for videre behandling.

Når nøkkelen er mottatt fra C2-serveren, initierer den infiserte verten en HTTP POST-forespørsel til ressursen www.tempinfo.96 [.] Lt / wras / savekey.php som inneholder vertsnavnet og den primære dekrypteringsnøkkelen for verten, som er , i seg selv, AES-kryptert.

Tømme løfter og ingen faktisk våpenhvile

Nylig var det en mengde løfter fra cyberkriminelle om at de ville avbryte angrep rettet mot sykehus, mens pandemien varer. Dette løftet og disse løftene beviste ikke annet enn tomme ord som forskningspunkter som angrepene fortsetter til i dag. Det har vært flere sykehus som har delt alarmerende informasjon - Ryuk ransomware har målrettet dem. Ryuk er en annen uhyre trussel i ransomware-verdenen.


Innlegg i sosiale medier fra 26. mars, som bekrefter Ruyks sykehusangrep. Kilde: twitter.com

Det er ikke bare Canada og USA som lider av disse angrepene. Som nevnt har kjeltringene gått globalt med sin grådighet.

En London-basert helsepersonell, med navnet Hammersmith Medicines Research, samarbeider med den britiske regjeringen for å teste COVID-19-vaksiner. De rapporterte om et ransomware-angrep nylig. The Maze ransomware hevdet dem som ofre, og skurkene som satte i gang angrepet senere la ut dataene de stjal fra organisasjonen på nettet.

Medisinske organisasjoner og medisinske forskningsfasiliteter i Japan ble også med på listen over mål ved hjelp av AgentTesla-malware. I nevnte liste finner du også et tysk industriproduksjonsfirma, et tyrkisk myndighetsorgan som administrerer offentlige arbeider, en koreansk kjemisk produsent og en USAs forsvarsforskningsenhet.

Alle disse stedene, og sannsynligvis andre som dem, blir offer for undervertisingskampanjer som utnytter Coronavirus-situasjonen for økonomisk gevinst. Cyberkriminelle, bak angrepene, bruker COVID-19 for å lokke målene til å åpne e-postene sine. Siden Coronavirus er ganske surrende ordet på dette tidspunktet, har det en tendens til å lokke agn til å stole på falske e-postmeldinger nok til å åpne dem. For å oppnå det, og sikre deres suksess, legger de vanligvis en oppmerksomhetssikker tag-linje. Som for eksempel 'COVID-19 leverandørvarsel' eller en 'bedriftsrådgivning'.

e-post fra covid-19 phishing-spam
En phishing-e-post som viser seg å inneholde merkelinja COVID-19 leverandørvarsel. Kilde: media.threatpost.com

Å få deg til å åpne svindel-e-posten er cybercriminals 'første skritt. Når de lurer deg til å gjøre det, må de dupe deg til å tro innholdet i e-posten nok til å følge instruksjonene. De har en tendens til å være de samme i hver eneste en - se vedlegget og åpne vedlegget. Ikke! Ikke bli offer for deres lureri.

Vedleggene til de ekle e-postmeldingene viste seg å være dropper som leverer varianter av AgentTesla malware-familien. I tilfelle du ikke er kjent med akkurat denne infeksjonen, er det en info-stealer som har vært rundt blokka siden 2014. Den blir annonsert og solgt på et utall forum, som fungerer som vannhull for nettkriminelle. AgentTesla er blant de beste skadelige familiene som er valgt av SilverTerrier-trusselaktøren, som er beryktet for BEC-kampanjer.

Nedenfor ser du et diagram som viser de rapporterte tapene fra BEC-angrep de siste årene. Som du ser er veksten tydelig.

trykk fra bec
Skildring av de rapporterte tapene fra BEC-angrep fra 2014 til 2018. Kilde: vadesecure.com

Tricking People er en vanskelig bedrift

Rapporter viser at e-postadressen, som er ansvarlig for å sende ut disse ondsinnede e-postmeldingene, er 'Shipping @ liquidroam [.] Com.' Den bruker et legitimt forretningsdomener for LiquidRoam, som tilbyr salg av elektriske skateboards. Da de oppdaget dette, konkluderte forskere med at det har kommet på kompromiss, og at de har falt i hendene på nettkriminelle å bruke slik de ser passende.

En annen observasjon gjort av forskere viste at alle de tilknyttede prøvene koblet til det samme C2-domenet for eksfiltrering - 'ftp [.] Lookmegarment [.] Com.' De legger også til at AgentTesla-prøvene hadde hardkodet legitimasjon, som ble vant til å kommunisere med C2-serveren over File Transfer Protocol (FTP).

Cyberkriminelle viser ingen tegn til å stoppe sine angrep. Frem til i dag fortsetter de å utnytte Coronavirus-pandemien som tema for deres ondsinnede cyberangrep over hele verden. De sprer skadelig programvare ved hjelp av spearphishing-kampanjer, booby-fanget nettadresser og referansefyllingssvindel. Vær forsiktig så du ikke faller inn på nettet av løgner de snurrer. Vær forsiktig, og husk at du aldri kan stole på nettet om nettkriminelle, noe som fremgår av de fortsatte angrepene på forskningsfasiliteter og helseinstitusjoner.

April 27, 2020
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.