Koronawirus i cyberzagrożenia / MoleRAT / Atak na Pyszne.pl

Zgodnie z prognozami ekspertów koronawirus i wzrost zachorowań w Europie oraz Stanach Zjednoczonych wywołał lawinę nowych kampanii m.in. malspam, złośliwe aplikacje na urządzenia mobilne, czy nawet atak DDoS na niemicki oddział Takeaway.com i po części polskie Pyszne.pl. W tym tygodniu również: grupa MoleRAT sięga po rozwiązania cybersecurity by ukryć działanie backdoor’a oraz Microsoft ma nadzieję, że nowy typ hardware położy kres atakom w rodzaju RobbinHood’owi i jemu podobnym.

1. Rozwiązania cybersecurity w rękach przestępców, czyli o zaciemnianiu słów kilka…

Cyberprzestępcy z grupy MoleRATs aby ukryć swoje działania skorzystali łącznie z kilkunastu taktyk zaciemnia obecności.

Infekcja prowadząca do instalacji backdoor’a EnigmaSpark zaczyna się jak wiele jej podobnych – od złośliwego załącznika World. 

W przypadku samego backdoor’a atakujący zastosowali schemat kodowania base64 oraz zdecydowali się przechowywać go na serwerach Google Drive. Dodatkowo złośliwe binaria zostały spakowane za pomocą Enigma Protector, które zapewniło kolejną warstwę zabezpieczeń.

Enigma Protector to popularne narzędzie służące do zabezpieczania plików .exe przed nielegalnym kopiowaniem, hackowaniem, modyfikacją i analizą.

Jeszcze innym środkiem ostrożności było użycie fałszywego nagłówka hosta w żądaniu HTTP POST – tego który przekazuje dane o systemie ofiary na serwery command and control. Po jaki rozpoznawalny brand sięgnęli przestępcy? Cnet[.]com, czyli jeden z największych serwisów z informacjami ze świata IT. Tę samą technikę atakujący wykorzystali w przypadku innych plików binarnych.

To jeszcze nie koniec… Po rozpakowaniu pliku runaway.exe badacze odkryli, że jego finalny plik nosi nazwię blaster.exe… W tym przypadku przestępcy zaczerpnęli od rozwiązania Themida – które również jest legalnym rozwiązaniem umożliwiającym ochronę przed sprawdzaniem lub modyfikowaniem skompilowanej aplikacji.

Źródło

2. Takeaway.com – polskie Pyszne.pl – padło ofiarą ataku DDoS

Przymusowa izolacja społeczna wywołana przez szalejący koronawirus odciska swoje piętno na nas wszystkich. Zamknięte sklepy, biura oraz restauracje. Tymczasowo nie można już „zjeść na mieście”, ale można zamówić jedzenie z dostawą do domu. Bez kontaktu z kurierem. Wiele osób z tego korzysta. Z przymusowych zmian upodobań postanowili również skorzystać cyberprzestępcy.

Atakujący za cel wybrali sobie niemiecki oddział Takeaway.com (którego częścią jest również Pyszne.pl). W środę 18 marca wymierzyli w niego atak DDoS, żądając 2BTC (około 11 tys. USD) za wstrzymanie działań. Firma przeszła w tryb konserwacji systemów „w celu zapewnienia bezpieczeństwa wszystkich danych”.

Problemy po zachodniej stronie naszej granicy dały się odczuć również w Polsce. Wiele podmiotów współpracujących z Pyszne.pl przekazało swoim klientom informacje o podobnej treści:

Dnia 18.03.2020r. miał miejsce atak DDoS na systemy Pyszne.pl. Na skutek tego zdarzenia zamówienia klientów nie były przekazywane na czas lub w ogóle nie trafiły do restauracji.

Dzień później Takeaway.com potwierdziło, że atak został zakończony, ale firma nadal walczy z jego skutkami.

Źródło

3. Nowy sprzęt od Microsoft ma położyć kres RobbinHood’owi i jemu podobnym

Microsoft nawołuje administratorów IT do zakupu sprzętu z zabezpieczonym rdzeniem, aby wyeliminować potrzebę konfigurowania dodatkowych zabezpieczeń. Najnowsza linia komputerów (m.in. Surface Pro X) jest już wyposażona w narzędzia do walki z ransomware i innym złośliwym oprogramowaniem. Jak? Chroni przed instalacją złośliwych sterowników oraz blokuje niezweryfikowane próby wykonania kodu. W ten sposób Microsoft chce rozprawić się chociażby z RobbinHood’em , który wyróżniał się tym, że atakował za pomocą złośliwego sterownika innej firmy i wyłączał ochronę jądra (o dokładnym przebiegu ataku pisaliśmy: tutaj). 

RobbinHood to dopiero wierzchołek góry lodowej. Trend wykorzystywania podatnych sterowników przez grupy przestępcze wspierane przez państwo rośnie w zastraszającym tempie. Wśród podobnych zagrożeń możemy wymienić: Uroburos, Derusbi, GrayFish i Sauron oraz kampanie złośliwego oprogramowania grupy, którą Microsoft nazywa STRONTIUM, czyli Fancy Bear lub ATP 28. 

Komputery z zabezpieczonym rdzeniem zwalczają również wykorzystanie “warmhole drivers” , gwarantując, że funkcje bezpieczeństwa wspierane sprzętowo są domyślnie włączone, aby administratorzy nie musieli konfigurować ich w ustawieniach BIOS i OS. Włączone funkcje obejmują moduł Trusted Platfrom (TPM), zabezpieczenia oparte na wirtualizacji, ochronę systemu Windows Defender System, integralność kodu chronionego na poziomie hypervisora (HVCI). Domyślnie aktywne są również narzędzia do blokowania niezweryfikowanego wykonywania kodu, Direct Memory Access (KDP) dla Thunderbolt 3 w celu ochrony przed atakami wymagającymi fizycznego dostępu oraz Credential Guard. 

Źródło

4. Przestępcy grożą, że zarażą Twoją rodzinę koronawirusem…

Cyberprzestępcy nie mają zahamowań, ale nawet w tej najbardziej zatwardziałej grupie są przypadki wyjątkowe.

Nadal mamy w pamięci ostatnią globalną kampanię z rodzaju sextortion, w której przestępcy grozili swoim ofiarom przekazaniem dwuznacznych informacji na jej temat do rodziny oraz przyjaciół. Jedynym ratunkiem przed hańbą i społecznym piętnem było zapłacenie 2 tys. USD. Teraz przestępcy postawili sobie poprzeczkę znacznie wyżej. Jeśli ofiara nie zapłaci 4 tys. dolarów amerykańskich, jej bądź jego rodzina zostanie zarażona koronawirusem.

Koronawirus – lawinowy wzrost kampanii malspam

Czytacie te słowa z niedowierzaniem? Kto się na to nabierze? Niestety statystyki pokazują, że tego typu kampanie malspam przynoszą największe zyski. Koronawirus wywołuj lęk, więc nie inaczej będzie i tym razem. Nie zapominajmy przecież, że świat ogarnęła panika przed COVID-19. Atakujący decydując się na taki przekaz mają nadzieję wywołać w ofierze obawę, że szpiegując ją przed dłuży okres czasu zebrali na jej temat dość informacji aby namierzyć ją w „realu” i zagrozić jej najbliższym.

Jak oszukać filtry antyspamowe…

W ostatnim czasie lookalikes otrzymały drugie życie. Z ich pomocą przestępcy rejestrują nazwy domen, wyglądające identycznie jak ich oryginalne (i bardzo rozpoznawalne) odpowiedniki. Więcej na ten temat przeczytacie tutaj. W tej kampanii atakujący wykorzystali symbole z alfabetu greckiego, zbliżone do łacińskich liter – A, N, O, T oraz V. Print screen wiadomości zamieszczamy poniżej.

Jak we wszystkich tego typu atakach, dowód którym dysponują przestępcy to hasło do konta mailowego ofiary. Pochodzi ono zazwyczaj z jakiegoś wcześniejszego wycieku danych. Co zrobić, jeśli na skrzynkę trafi mail o takiej lub podobnej treści? Po pierwsze nie przelewać pieniędzy – nigdy. Po drugie – nie dać sie zastaszyć. Atakujący nic nie wiedzą o swoich ofiarach, to nie są ataki celowane. Na koniec, nie należy odpowiadać na takiego maila – dajesz przestępcom tylko dodatkową szansę by dać się zastraszyć.  

Źródło

5. Tysiące korona-domen dziennie czyha na Twoje dane i pieniądze

Zasada jest taka – gdy realna gospodarka słabnie, budzi się ta podziemna. W ostatnich dniach można odnieść wrażenie, że cyberprzestępczość przybiera nową formę – korona-przestępczości w skali przemysłowej. Według wielu raportów przestępcy codziennie tworzą i publikują tysiące stron związanych z COVID-19. Większość z nich służy atakom phishingowym, rozpowszechnianiu plików ze złośliwym oprogramowaniem lub oszustwom finansowym. Ludzie płacą na nich za wymyślone leki, suplementy czy szczepionki. Obrazuje to również skalę fake newsów, z którymi mamy do czynienia. 

Ilość rejestracji fałszywych domen dziennie wzrasta wraz z epidemią. W lutym pojawiały się dziesiątki dziennie. Dziś są to tysiące. Badacz bezpieczeństwa działający pod pseudonimem DustyFresh sprawdził, że między 14 a 18 marca oszuści stworzyli ponad 3600 nowych domen zawierających termin “coronavirus”. Zdecydowana większość wykorzystywana jest do oszustw internetowych. Jeśli dołożymy do tego inne terminy, jak covid, pandemia, wirus czy szczepionka – wynik będzie zdecydowanie wyższy. 

Dokładnie to zrobiła firma RiskIQ. Przykładowo: w niedzielę 15 marca rejestruje się ponad 35 tysięcy domen, następnego – ponad 17 tys.

ZDNet udostępnia nawet specjalny dashboard, który pokazuje jak szybko tworzone są nowe korona-domeny. Agreguje on kanał RiskIQ i wyświetla je w czasie rzeczywistym, w miarę ich odkrywania. Sprawdź!

Koronawirus generuje sprzedaż nichym w…

Hakerski Black Friday i Cyber Monday. Na dark forach zaczynają się również pojawiać oferty “Coronavirus specials” – z wyjątkowym rabatem -10% można nabyć chociażby obejście WinDefendera. Dodatkowo – im więcej kupujesz, tym więcej oszczędzasz.

Ponownie upominamy, aby zachować bezpieczeństwo nie tylko w świecie realnym, ale i w sieci. Szukajmy informacji na oficjalnych stronach i unikajmy magicznych rozwiązań – oficjalnych leków i szczepionek na koronawirusa jeszcze nie ma. Nie dajmy się oszukać na takie tanie sztuczki i zarobić przestępcom na naszym strachu.

Źródła: 1 | 23

6. Aplikacja, która śledzi rozwój epidemii w czasie rzeczywistym? To pułapka!

“Śledź epidemię na Twojej ulicy i w mieście w czasie rzeczywistym”, “Działa w 100 krajach” – to hasła, którymi użytkownicy namawiani są do zainstalowania aplikacji COVID 19 TRACKER. Brzmi fajnie, co? Problem w tym, że to aplikacja-przynęta. 

Wygląda jednak dość wiarygodnie – jest nawet rzekomo certyfikowana przez Departament Edukacji Stanów Zjednoczonych, WHO cz CDC. 

“Złoty puchar” ma imitować aplikacje na Google Play – tam nie znajdziemy jednak COVID 19 TRACKER. Możemy za to pobrać ją ze strony internetowej “producenta”. Uruchamiana po raz pierwszy prosi o różne uprawnienia, które co prawda powinny budzić podejrzenia – aplikacja chce działać w tle, mieć dostęp do ekranu blokady i korzystać z funkcji ułatwień dostępu Androida. Ale przecież appka służy do śledzenia przypadków zarażenia podczas poruszania się, prawda? Idziemy więc dalej. 

Co się potem dzieje? Złosliwe oprogramowanie przejmuje kontrolę nad Twoim telefonem, blokuje dostęp do większości aplikacji szybko pokrywając je całkowicie żądaniem okupu. Wiadomość łączy w sobie groźbę z sextortion i ransomware.

Nie masz więc dostępu do urządzenia z powodu stałego ekranu pop-over, ale grozi ci wyciek prywatnych filmów i zdjęć do rodziny, przyjaciół oraz całej listy kontaktów. Zapłacisz?

Okazuje się jednak, że oszuści byli zbyt leniwi i zakodowali kod odblokowujący we własnej aplikacji. 

Gdy wpisze się ten 10-cyfrowy kod deszyfrujący na stronie szantażu powyżej, złośliwe oprogramowanie przestaje blokować dostęp do innych aplikacji. Następnie należy szybko odebrać jej prawa administratora w ustawieniach. 

Jak ochronić się przed podobnymi działaniami? Zawsze pobieraj aplikacje z oficjalnych sklepów mobilnych (Google Play, AppStore), nie nabieraj się na tanią propagandę, a przede wszystkim nie udzielaj zezwoleń, jeżeli aplikacja naprawdę ich nie potrzebuje. 

Źródło