Dan Swinhoe, CSO (EUA) em 24/03/2020
|
Foto: Shutterstock |
Embora as organizações possam tomar várias medidas para garantir que os funcionários estejam bem equipados para trabalhar
remotamente de maneira segura, os atores dessas ameaças, de todas as faixas, já estão tirando proveito da situação do COVID19/coronavírus. Para não perder uma oportunidade, os hackers estão intensificando as operações para espalhar malware através de e-mails, aplicativos, sites e mídias sociais com o tema
Covid19. Aqui está uma análise dos possíveis vetores de ameaças e técnicas que os hackers estão usando para atacar as organizações.
E-mails de phishing
O e-mail é e continuará sendo o maior vetor de ameaças para pessoas e organizações. Os cibercriminosos há muito tempo usam eventos mundiais em campanhas de phishing para aumentar sua taxa de acertos, e o coronavírus não é uma exceção.
A Digital Shadows relata que os mercados da dark web estão anunciando kits de
phishing COVID19 usando um anexo de e-mail corrompido disfarçado como um mapa de distribuição do surto do vírus por preços que variam de US$ 200 a US$ 700.
Os temas desses e-mails variam, de artigos de analistas de setores específicos da indústria e detalhes das orientações oficiais de saúde do governo a vendedores de máscaras ou outras informações sobre operações e logística durante esse período. As cargas incluídas nesses e-mails variam de ransomware e keyloggers a trojans de acesso remoto e ladrões de informação.
"Nossa equipe de pesquisa de ameaças observou inúmeras campanhas de e-mail maliciosas COVID-19, com muitas delas usando o medo para tentar convencer as vítimas em potencial a clicar. Os criminosos enviaram ondas de e-mails que variavam o disparo de uma dúzia a mais de 200.000 por vez, e o número de campanhas está aumentando. Inicialmente, assistimos a uma campanha por dia em todo o mundo, agora observamos três ou quatro por dia", diz Sherrod DeGrippo, Diretor Sênior de Pesquisa e Detecção de Ameaças da Proofpoint.
Segundo DeGrippo, cerca de 70% dos e-mails revelados pela equipe de ameaças da Proofpoint liberava malwares, com o restante sendo usado na tentativa de roubo de credenciais das vítimas através de páginas de destino falsas, como o Gmail ou o Office 365. A Proofpoint diz que o volume acumulado de e-mails/iscas relacionado ao coronavírus representa agora a maior coleção de tipos de ataque unidos por um único tema que a empresa já viu.
O NCSC e a Organização Mundial de Saúde (OMS), entre outros, fizeram avisos públicos sobre e-mails fraudulentos que fingem ser de órgãos oficiais. Vários e-mails de phishing que afirmam ser do Centro de Controle e Prevenção de Doenças (CDC) estão circulando.
A BAE Systems relata que os hackers que enviam e-mails com o tema COVID-19 incluem a Transparent Tribe (também conhecida como APT36), direcionada para o governo indiano, os grupos Sandworm/OlympicDestroyer e Gamaredon, vinculados à Rússia, e os grupos afiliados chineses Operation Lagtime e Mustang Panda APTS.
Aplicativos maliciosos
Embora a Apple tenha colocado limites em aplicativos relacionados ao COVID-19 em sua App Store e o Google tenha removido alguns da Play Store, aplicativos maliciosos ainda podem representar uma ameaça para os usuários. O DomainTools descobriu um site que pedia aos usuários que baixassem um aplicativo Android que suspostamente forneceria informações estatísticas e de rastreamento sobre o COVID-19, incluindo recursos visuais do mapa de calor. No entanto, o aplicativo é realmente carregado com um ransomware para Android, agora conhecido como COVIDLock. A nota de resgate exigia US$ 100 em bitcoin, em 48 horas, e ameaça de apagar os contatos, fotos e vídeos, bem como a memória do telefone do usuário. Um token de desbloqueio foi descoberto.
O DomainTools relatou que os domínios associados ao COVIDLock foram usados anteriormente para distribuir malware relacionado à pornografia. "A história de longo prazo dessa campanha, agora parecendo desativada, sugere que esse golpe do COVID-19 seja um novo empreendimento e experimento do hacker por trás desse malware", disse Tarik Saleh, Engenheiro de Segurança Sênior e Pesquisador de Malware da DomainTools, em um blog.
A Proofpoint também descobriu uma campanha pedindo aos usuários que doassem seu poder computacional para o SETI@Home, mas dedicados à pesquisa sobre o COVID-19, apenas para fornecer malware de roubo de informações fornecido via BitBucket.
Domínios inválidos
Novos sites estão sendo rapidamente criados para disseminar informações relacionadas à pandemia. No entanto, muitos deles também serão armadilhas para vítimas inocentes. A Recorded Future relata que centenas de domínios relacionados ao COVID-19 foram registrados todos os dias nas últimas semanas. O Checkpoint sugere que os domínios relacionados ao COVID-19 tenham 50% mais chances de serem maliciosos do que outros domínios registrados no mesmo período.
O NCSC informou que sites falsos estão se passando por Centros de Controle de Doenças (CDC) dos EUA e criando nomes de domínio semelhantes ao endereço da web do CDC para solicitar "senhas e doações de bitcoin para financiar uma vacina falsa".
Reason Security e Malwarebytes relataram um site de mapas de calor de infecção do COVID-19 que está sendo usado para espalhar malware. O site é carregado com o malware AZORult, que rouba credenciais, números de cartões de pagamento, cookies e outros dados confidenciais baseados no navegador, e os filtra para um servidor de comando e controle. Ele também procura carteiras de criptomoedas, pode pegar capturas de tela não autorizadas e coletar informações de dispositivos de máquinas infectadas.
Pontos de extremidade inseguros e usuários finais
Com um grande número de funcionários ou até empresas inteiras trabalhando remotamente por um longo período de tempo, aumentam os riscos em torno dos endpoints e das pessoas que os utilizam. Os dispositivos que a equipe usa em casa podem se tornar mais vulneráveis se os funcionários não atualizarem seus sistemas regularmente.
Trabalhar em casa por longos períodos de tempo também pode incentivar os usuários a baixar aplicativos de sombra para dispositivos ou desprezar políticas de segurança que eles normalmente seguiriam no escritório. Um menor número de viagens de negócios pode reduzir a chance de os funcionários terem problemas de segurança nas fronteiras, mas apenas reduz a ameaça de conexão com redes Wi-Fi inseguras ou a perda de dispositivos se eles realmente ficarem em casa. Aqueles que saem para trabalhar em cafés - e alguns provavelmente o farão - ainda podem ser suscetíveis a roubo ou perda de dispositivos ou ataques do tipo intermediário.
A International Association of Information Technology Asset Managers (Associação Internacional de Gerentes de Ativos de Tecnologia da Informação) recomenda que todos os ativos de TI que estão sendo levados para casa sejam desconectados e rastreados e que as empresas forneçam políticas e conselhos sobre como os ativos serão usados em casa (especialmente se as pessoas estiverem acostumadas a compartilhar dispositivos com a família). Orienta também que lembrem os usuários sobre as políticas em torno de conexão com Wi-Fi público, e que verifiquem se eles continuam a atualizar seu software, conforme necessário.
Vulnerabilidades em fornecedores e terceiros
Todo parceiro, cliente e provedor de serviços do seu ecossistema provavelmente está passando pelos mesmos problemas que a sua organização. Entre em contato com partes críticas do seu ecossistema de terceiros para garantir que eles estejam tomando medidas para proteger sua força de trabalho remota.
Direcionar organizações de saúde
Nos últimos dias, o site de Saúde Pública de Illinois foi atingido com ransomware, enquanto o Departamento de Saúde e Serviços Humanos (HHS) sofreu uma tentativa de ataque DDoS. É provável que organizações de saúde de todas as formas e tamanhos estejam mais estressadas do que o habitual, o que pode tornar a equipe mais descuidada quanto ao que clicam.
Criminosos oportunistas ou aqueles que desejam interromper as operações podem ter mais chances de atingir o setor. Os CISOs do setor de saúde ou que fornecem a esse setor devem lembrar a equipe de estar vigilante quanto a links e documentos suspeitos e garantir que suas operações sejam resistentes a ataques DDoS.
Prioridades de segurança para o trabalho remoto em grande escala
Liviu Arsene, Pesquisadora Global de Segurança Cibernética da Bitdefender, recomenda que as organizações sigam as seguintes etapas para garantir um trabalho remoto seguro e estável:
- Aumente o número de conexões VPN simultâneas para acomodar todos os funcionários remotos;
- Configure e suporte software de conferência que garanta uma conexão estável de voz e vídeo
- Verifique se todos os funcionários têm credenciais válidas que não expiram em menos de 30 dias, pois a alteração das credenciais expiradas do Active Directory pode ser difícil quando remotas.
- Envie regras e diretrizes sobre aplicativos aceitos e plataformas colaborativas para que os funcionários estejam cientes do que é sancionado e suportado e do que não é.
- Tenha procedimentos de implementação gradual para implantar atualizações, pois entregá-las todas de uma vez a funcionários conectados à VPN pode criar congestionamentos de largura de banda e afetar o tráfego de entrada e saída.
- Habilite a criptografia de disco para todos os pontos de extremidade para reduzir o risco de perda de dados em dispositivos comprometidos.