Cyberprzestępcy atakują organizacje opieki zdrowotnej walczące z koronawirusem

Świat jest pandemiczny. Koronawirus rozprzestrzenił się na całym świecie i pochłonął oszałamiającą liczbę ofiar. Ludzie boją się i nie są pewni, co robić i co dalej. W tych niepewnych czasach jedna rzecz pozostała stała - wszyscy zgadzają się, że ludzie walczący z pandemią z pierwszej ręki są bohaterami. Pielęgniarki, lekarze, naukowcy, pracownicy służby zdrowia na pierwszej linii frontu, starają się pomóc. Są to ludzie, którzy są ogólnie godni szacunku, ale tym bardziej zasługują na to teraz. Wielu z nich ćwiczyło na co dzień, nawet bez odpowiedniego sprzętu ochronnego, ponieważ nie chcą odwracać się plecami do ludzi, którzy najbardziej ich potrzebują. Ryzykują własne życie, pomagając potrzebującym. To jest godne podziwu.

Niestety niektórym ludziom nie zależy na poświęceniu, obowiązku publicznym i przyzwoitości. Są cyberprzestępcy, którzy uważają za stosowne, aby przynosić zysk ludziom. Oszuści, którzy nie dbają o stan wyjątkowy większości krajów, oraz stan paniki prawie wszystkich osób, są non stop. Te złośliwe osoby zdecydowały, że nadszedł czas, aby rozpocząć kampanie reklamowe. Nie tylko to, ale ataki na tych, których najbardziej potrzebujemy - pracowników służby zdrowia, walczących z przerażającym koronawirusem. Rozpętali ataki w szpitalach, organizacjach opieki zdrowotnej i dostawcach medycznych, a lekarze cierpią z tego powodu. Zamiast skupiać się na pomaganiu ludziom, rozprasza ich chciwość cyberprzestępców.

Nie ma czasu jak prezent na szybki chwyt gotówki

Złośliwe osoby przeprowadziły ataki złośliwe na osoby próbujące uchronić nas przed wirusem. Badacze szkodliwego oprogramowania odkryli dwie ważne kampanie - jedną przeciwko dwóm kanadyjskim placówkom: rządowej organizacji opieki zdrowotnej i uniwersytetowi badań medycznych. A drugi rzucił szeroką sieć i był skierowany do organizacji medycznych i ośrodków badań medycznych na całym świecie.

Oszuści wysłali mnóstwo e-maili do organizacji i zamaskowali je jako zgodne z prawem. Podawali swoją zasadność, twierdząc, że zawierają informacje związane z COVID-19. Mówiąc dokładniej, dane dotyczące zaopatrzenia medycznego, szczegóły Światowej Organizacji Zdrowia (WHO) lub ważne informacje korporacyjne dotyczące wirusa. Niezależnie od tego, który e-mail został wysłany, jego prawdziwy cel pozostał ten sam - rozprzestrzenianie złośliwego oprogramowania. Cyberprzestępcy załadowali te wiadomości e-mail oprogramowaniem ransomware, złodziejami informacji, trojanami i innymi. Wszystko w imię szybkiego zgarnięcia gotówki.

szkod ransomware
Przedstawienie wzrostu rentowności oprogramowania ransomware z roku na rok. Źródło: gdatasoftware.com

Wady i ataki phishingu

Pod koniec marca, a dokładniej między 24 a 30 marca, badacze zauważyli pewne osobliwości dotyczące ataków związanych z COVID-19 . Podjęto kilka prób ataków na osoby aktywnie zaangażowane w walkę z koronawirusem. Jak wspomniano, pierwsza próba ataku cyberprzestępców skierowana była na osoby powiązane z nienazwaną rządową organizacją zdrowia Kanady, zaangażowaną w działania związane z reakcją COVID-19. Drugi z nich skierowany był do kanadyjskiego uniwersytetu odpowiedzialnego za prowadzenie badań nad COVID-19.

Złośliwe wiadomości e-mail starały się naśladować prawidłowe. Sfałszowali prawdziwy adres e-mail WHO (noreply @ who [.] Int) i zawierali plik RTF, który rzekomo zawierał informacje związane z pandemią.

Otwarcie tego e-maila jest błędem. Otwarcie RTF jest jeszcze większym błędem.

Po otwarciu pliku RTF próbuje on dostarczyć do systemu ładunek ransomware. Ładunek wykorzystuje znaną lukę (CVE-2012-0158) w pakiecie Microsoft Office. Pozwala atakującym na wykonanie dowolnego kodu.

Jeśli otworzysz złośliwy załącznik, zostanie on upuszczony i uruchomi plik binarny ransomware na dysk w folderze C: \ Users \ \ AppData \ Local \ svchost.exe . Upuszczony plik binarny stara się pozostać niezauważonym. Ma ukryty zestaw atrybutów, który jest wykorzystywany, gdy niektóre treści są przestarzałe i nie są już potrzebne. I udaje mu się ukryć szczegóły przed tobą, użytkownikiem. Co więcej, plik binarny używa również ikony Adobe Acrobat w kolejnej próbie maskowania swojego rzeczywistego celu.

Złośliwe oprogramowanie, ukryte w pliku RTF, wydaje się być wariantem ransomware typu open source o nazwie EDA2. Ta infekcja jest częścią większej, bardziej złowieszczej rodziny oprogramowania ransomware - HiddenTear. Jeśli nazwa dzwoni, nie jest zaskoczeniem. Zagrożenie HiddenTear to gigant, który pochłonął niezliczone ofiary.

Jak tylko plik binarny zostanie wykonany, inicjowane jest żądanie HTTP GET dla zasobu tempinfo.96 [.] Lt / wras / RANSOM20.jpg . Zakażenie uderza w ekran powiadomień na pulpicie, aby dowiedzieć się o kłopotach - „TWÓJ PC JEST ZABLOKOWANY”. Zawarty w nim komunikat brzmi: „Jeśli chcesz odblokować swoje pliki, musisz wysłać .35 BTC [Bitcoin] na ten adres.” Następnie pozostawia Ci podany adres. Aby to wyjaśnić, w momencie pisania tego artykułu 0,35 Bitcoin wynosi 2 670,13 USD.

ransom20 nota okupu
Obraz wiadomości z powiadomieniem o ransomware. Źródło: unit42.paloaltonetworks.com

Obraz zostanie zapisany na dysku w C: \ Users \ \ ransom20.jpg , co pozwala zastąpić oryginalną tapetę pulpitu.

Plik binarny ransomware szyfruje szereg rozszerzeń plików, w tym „.DOC”, „.ZIP”, „. PPT ”i więcej. Naukowcy zauważają, że plik binarny tego oprogramowania ransomware ma znaczne ograniczenia. Jest zakodowany tylko do szyfrowania plików i katalogów znajdujących się na pulpicie ofiary.

Oto lista różnych rozszerzeń plików, które szyfruje plik binarny ransomware:

„.abw”, „.aww”, „.chm”, „.dbx”, „.djvu”, „.doc”, „.docm”, „.docx”, „.dot”, „.dotm”, „.dotx”, „.epub”, „.gp4”, „.ind”, „.indd”, „.key”, „.keynote”, „.mht”, „.mpp”, „.odf”, „.ods”, „.odt”, „.ott”, „.oxps”, „.pages”, „.pdf”, „.pmd”, „.pot”, „.potx”, „.pps”, „.ppsx”, „.ppt”, „.pptm”, „.pptx”, „.prn”, „.prproj”, „.ps”, „.pub”, „.pwi”, „.rtf”, „.sdd”, „.sdw”, „.shs”, „.snp”, „.sxw”, „.tpl”, „.vsd”, „.wpd”, „.wps”, „.wri”, „.xps”, „.bak”, „.bbb”, „.bkf”, „.bkp”, „.dbk”, „.gho”, „.iso”, „.json”, „.mdbackup”, „.nba”, „.nbf”, „.nco”, „.nrg”, „.old”, „.rar”, „.sbf”, „.sbu”, „.spb”, „.spba”, „.tib”, „.wbcat”, „.zip”, „7z”, „.dll”, „.dbf”

Algorytm szyfrowania infekcji jest prosty, ale skuteczny. Wszystkie twoje pliki zostają zablokowane i zmieniono ich nazwę z rozszerzeniem „.locked20”. Możesz zobaczyć kod źródłowy ransomware na obrazku poniżej.

kod ransom20
Kod źródłowy szyfrowania oprogramowania ransomware. Źródło: unit42.paloaltonetworks.com

Po tym, jak zdalny serwer dowodzenia i kontroli (zwany także C&C lub C2) zdoła zatrzymać dane, tworzy niestandardowy klucz na podstawie szczegółów nazwy użytkownika / hosta. Następnie przesyła ten klucz z powrotem do zainfekowanego hosta w celu dalszego przetwarzania.

Po otrzymaniu klucza z serwera C2 zainfekowany host inicjuje żądanie HTTP POST do zasobu www.tempinfo.96 [.] Lt / wras / savekey.php zawierającego jego nazwę hosta i podstawowy klucz deszyfrujący dla hosta, który jest , samo w sobie, szyfrowane AES.

Puste obietnice i brak rzeczywistego zawieszenia broni

Ostatnio cyberprzestępcy złożyli mnóstwo obietnic, że zaprzestaną ataków na szpitale, dopóki pandemia będzie trwała. Ta obietnica i obietnice okazały się niczym więcej niż pustymi słowami, ponieważ badania wskazują, że ataki trwają do dziś. Istnieje kilka szpitali, które dzielą się niepokojącymi informacjami - atakowało je ransomware Ryuk. Ryuk to kolejne potworne zagrożenie w świecie oprogramowania ransomware.


Post w mediach społecznościowych z 26 marca, potwierdzający ataki szpitalne Ruyka. Źródło: twitter.com

Ataki te dotyczą nie tylko Kanady i USA. Jak wspomniano, oszuści zaczęli globalizować się ze swoją chciwością.

Firma opieki zdrowotnej z siedzibą w Londynie, o nazwie Hammersmith Medicines Research, współpracuje z rządem brytyjskim w celu przetestowania szczepionek COVID-19. Zgłosili ostatnio atak ransomware. Oprogramowanie ransomware Maze uznało je za ofiary, a oszuści, którzy przeprowadzili ten atak, opublikowali później dane, które ukradli organizacji w Internecie.

Organizacje medyczne i ośrodki badań medycznych w Japonii również dołączyły do listy celów za pośrednictwem złośliwego oprogramowania AgentTesla. Na wspomnianej liście znajdziesz także niemiecką firmę produkującą przemysł, turecką agencję rządową zarządzającą robotami publicznymi, koreańskiego producenta chemikaliów oraz amerykański ośrodek badań nad obronnością.

Wszystkie te miejsca i prawdopodobnie inne podobne do nich padają ofiarą złośliwych kampanii, które wykorzystują sytuację koronawirusa w celu uzyskania korzyści finansowych. Za atakami cyberprzestępcy wykorzystują COVID-19, aby zwabić cele do otwarcia swoich e-maili. Ponieważ Coronavirus jest w tym miejscu dość popularnym słowem, zwykle skutecznie przekonywa ludzi do zaufania fałszywym wiadomościom e-mail na tyle, aby je otworzyć. Aby to osiągnąć i zapewnić im sukces, zwykle umieszczają przyciągające uwagę hasło. Jak na przykład „Informacja dla dostawcy COVID-19” lub „Doradztwo korporacyjne”.

covid-19 spam phishingowy
Wiadomość e-mail wyłudzająca informacje, która zawiera tag „COVID-19 Dostawca Notice”. Źródło: media.threatpost.com

Pierwszym krokiem cyberprzestępców jest skłonienie Cię do otwarcia ich fałszywej wiadomości e-mail. Gdy nakłonią cię do zrobienia tego, muszą cię oszukać, abyś uwierzył w treść wiadomości e-mail na tyle, aby postępować zgodnie z jej instrukcjami. Zwykle są takie same w każdym - zobacz załącznik i otwórz załącznik. Nie rób! Nie padaj ofiarą ich oszustwa.

Załączniki do nieprzyjemnych wiadomości e-mail okazały się dropperami, które dostarczają warianty rodziny złośliwego oprogramowania AgentTesla. Jeśli nie jesteś zaznajomiony z tą konkretną infekcją, jest to narzędzie do kradzieży informacji, które działa od 2014 roku. Jest reklamowane i sprzedawane na niezliczonych forach, które działają jak wodopoje dla cyberprzestępców. AgentTesla jest jedną z najlepszych rodzin złośliwego oprogramowania aktora zagrożeń SilverTerrier, który jest znany z kampanii kompromisowych wiadomości e-mail (BEC).

Poniżej znajduje się wykres pokazujący zgłoszone straty z ataków BEC w ostatnich latach. Jak widać wzrost jest widoczny.

straty z powodu
Przedstawienie zgłoszonych strat z powodu ataków BEC w latach 2014-2018. Źródło: vadesecure.com

Oszukiwanie ludzi to trudna sprawa

Raporty pokazują, że adres e-mail odpowiedzialny za wysyłanie tych złośliwych wiadomości e-mail to „Shipping @ liquidroam [.] Com”. Wykorzystuje legalną domenę biznesową dla LiquidRoam, która zapewnia sprzedaż deskorolek elektrycznych. Po odkryciu tego, naukowcy doszli do wniosku, że został on narażony na szwank i wpadł w ręce cyberprzestępców, aby używać go według własnego uznania.

Kolejna obserwacja naukowców wykazała, że wszystkie powiązane próbki połączone z tą samą domeną C2 w celu eksfiltracji - „ftp [.] Lookmegarment [.] Com.” Dodają również, że próbki AgentTesla miały zakodowane na stałe dane uwierzytelniające, które przyzwyczaiły się do komunikacji z serwerem C2 za pośrednictwem protokołu FTP.

Cyberprzestępcy nie wykazują oznak powstrzymywania ataków. Do dziś nadal wykorzystują pandemię Coronavirus jako motyw do ich złośliwych cyberataków na całym świecie. Rozprzestrzeniają złośliwe oprogramowanie za pomocą kampanii typu spearphishing, adresów URL uwięzionych przez miny i oszustw związanych z wypełnianiem danych uwierzytelniających. Uważaj, aby nie wpaść w sieć kłamstw, które wirują. Zachowaj ostrożność i pamiętaj, że nigdy nie możesz ufać słowom cyberprzestępców, o czym świadczą ciągłe ataki na placówki badawcze i instytucje opieki zdrowotnej.

April 27, 2020
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.