Los ciberdelincuentes se están aprovechando de la crisis del coronavirus para propagar malware, interrumpir las operaciones, sembrar dudas y ganar dinero rápidamente.
Si bien las organizaciones pueden tomar muchas medidas para garantizar que los empleados estén bien equipados para trabajar de forma remota de manera segura, los actores de amenazas de todo tipo ya se están aprovechando de la situación COVID19 / coronavirus. Nunca se pierda una oportunidad, los atacantes están intensificando las operaciones para difundir malware a través de correos electrónicos, aplicaciones, sitios web y redes sociales con el tema de Covid19. Aquí hay un desglose de posibles vectores de amenazas y técnicas que los actores de amenazas están utilizando para atacar a las organizaciones.
Cómo los atacantes explotan la crisis de COVID-19
1. Correos electrónicos de phishing
El correo electrónico es y seguirá siendo el mayor vector de amenazas para las personas y las organizaciones. Los cibercriminales han usado durante mucho tiempo los eventos mundiales en campañas de phishing para aumentar su tasa de aciertos, y el coronavirus no es una excepción.
Digital Shadows informa que los mercados web oscuros están publicitando kits de phishing COVID19 utilizando un archivo adjunto de correo electrónico envenenado disfrazado como un mapa de distribución del brote del virus a precios que van desde $ 200 a $ 700.
Los temas en estos correos electrónicos van desde informes de analistas específicos de ciertas industrias y detalles de consejos de salud oficiales del gobierno hasta vendedores que ofrecen máscaras u otra información sobre operaciones y logística durante estos tiempos. Las cargas útiles incluidas en estos correos electrónicos van desde ransomware y keyloggers hasta troyanos de acceso remoto y ladrones de información.
“Nuestro equipo de investigación de amenazas ha observado numerosas campañas de correo electrónico malicioso de COVID-19 y muchas de ellas utilizan el miedo para tratar de convencer a las víctimas potenciales de que hagan clic”, dice Sherrod DeGrippo, director senior de investigación y detección de amenazas en Proofpoint. “Los delincuentes han enviado oleadas de correos electrónicos que han oscilado entre una docena y más de 200,000 a la vez, y la cantidad de campañas está en alza. Inicialmente estábamos viendo alrededor de una campaña por día en todo el mundo, ahora estamos observando tres o cuatro por día “.
DeGrippo dice que alrededor del 70% de los correos electrónicos que el equipo de amenazas de Proofpoint ha descubierto entregan malware con la mayoría del resto con el objetivo de robar las credenciales de las víctimas a través de páginas de aterrizaje falsas como Gmail u Office 365. Proofpoint dice que el volumen acumulado de señuelos de correo electrónico relacionados con coronavirus ahora representa el La mayor colección de tipos de ataque unidos por un solo tema que la compañía haya visto.
El NCSC y la Organización Mundial de la Salud (OMS), entre otros, han hecho advertencias públicas sobre correos electrónicos fraudulentos que supuestamente provienen de organismos oficiales. Han circulado varios correos electrónicos de phishing que dicen ser de los Centros para el Control y la Prevención de Enfermedades (CDC ).
BAE Systems informa que los actores de amenazas que envían correos electrónicos con el tema COVID-19 incluyen la Tribu Transparente dirigida al gobierno indio (también conocida como APT36 ), los grupos Sandworm / OlympicDestroyer y Gamaredon vinculados a Rusia, y los grupos afiliados a China Operation Lagtime y Mustang Panda APTS.
2. Aplicaciones maliciosas
Aunque Apple ha puesto límites a las aplicaciones relacionadas con COVID19 en su App Store y Google ha eliminado algunas aplicaciones de Play Store, las aplicaciones maliciosas aún pueden representar una amenaza para los usuarios. DomainTools descubrió un sitio que instaba a los usuarios a descargar una aplicación de Android que proporciona información estadística y de seguimiento sobre COVID-19, incluidas imágenes de mapas de calor. Sin embargo, la aplicación está cargada con un ransomware dirigido a Android ahora conocido como COVIDLock . La nota de rescate exige $ 100 en bitcoin en 48 horas y amenaza con borrar sus contactos, fotos y videos, así como la memoria de su teléfono. Se ha descubierto un token de desbloqueo .
DomainTools informó que los dominios asociados con COVIDLock se usaron previamente para distribuir malware relacionado con la pornografía. “La historia a largo plazo de esa campaña, que ahora parece deshabilitada, sugiere que esta estafa COVID-19 es una nueva aventura y experimento para el actor detrás de este malware”, dijo Tarik Saleh, ingeniero de seguridad senior e investigador de malware en DomainTools, en un blog. enviar.
Proofpoint también descubrió una campaña que pedía a los usuarios que donaran su potencia informática a la SETI @ Home, pero dedicada a la investigación de COVID-19, solo para entregar malware de robo de información entregado a través de BitBucket.
3. Dominios malos
Se están creando nuevos sitios web rápidamente para difundir información relacionada con la pandemia. Sin embargo, muchos de ellos también serán trampas para víctimas desprevenidas. Futuro registrado informa que cientos de dominios relacionados con COVID-19 se han registrado todos los días durante las últimas semanas. Checkpoint sugiere que los dominios relacionados con COVID-19 tienen un 50% más de probabilidades de ser maliciosos que otros dominios registrados en el mismo período.
El NCSC informó que los sitios falsos se hacen pasar por los Centros para el Control de Enfermedades (CDC) de EE. UU. Y crean nombres de dominio similares a la dirección web de los CDC para solicitar “contraseñas y donaciones de bitcoins para financiar una vacuna falsa”.
Reason Security y Malwarebytes han informado sobre un sitio de mapa de calor de infección COVID-19 que se está utilizando para propagar malware. El sitio está cargado de malware AZORult que robará credenciales, números de tarjetas de pago, cookies y otros datos confidenciales basados en el navegador y los filtrará a un servidor de comando y control. También busca billeteras de criptomonedas, puede tomar capturas de pantalla no autorizadas y recopilar información del dispositivo de las máquinas infectadas.
4. Endpoints inseguros y usuarios finales
Con un gran número de empleados o incluso todas las empresas que trabajan de forma remota durante un tiempo prolongado, aumentan los riesgos en torno a los puntos finales y las personas que los utilizan. Los dispositivos que el personal usa en el hogar podrían volverse más vulnerables si los empleados no actualizan sus sistemas regularmente.
Trabajar desde casa durante largos períodos de tiempo también puede alentar a los usuarios a descargar aplicaciones ocultas en dispositivos o políticas de incumplimiento que normalmente seguirían en la oficina. Menos viajes de negocios podría reducir la posibilidad de que los empleados tengan problemas de seguridad en las fronteras, pero solo reduce la amenaza de conectarse a redes WiFi inseguras o perder dispositivos si realmente se quedan en casa. Aquellos que salen a trabajar desde cafés, y algunos probablemente lo harán, aún podrían ser susceptibles al robo o la pérdida de dispositivos, o ataques de hombre en el medio .
La Asociación Internacional de Gerentes de Activos de Tecnología de la Información recomienda que todos los activos de TI que se llevan a casa se cierren y rastreen, que las compañías brinden políticas y consejos sobre cómo se usan los activos en el hogar (especialmente si las personas están acostumbradas a compartir dispositivos con la familia), recuerde a los usuarios de políticas relacionadas con la conexión a WiFi público, y asegúrese de que continúen actualizando su software según sea necesario.
5. Vulnerabilidades en proveedores y terceros.
Es probable que cada socio, cliente y proveedor de servicios en su ecosistema esté pasando por los mismos problemas que su organización. Comuníquese con partes críticas de su ecosistema de terceros para asegurarse de que estén tomando medidas para asegurar su fuerza de trabajo remota.
6. Dirigirse a organizaciones de salud
En los últimos días, el sitio web de Salud Pública de Illinois fue golpeado con ransomware, mientras que el Departamento de Salud y Servicios Humanos (HHS) sufrió un intento de ataque DDoS . Es probable que las organizaciones de atención médica de todas las formas y tamaños estén más estresadas de lo habitual, lo que puede hacer que el personal sea más laxo con respecto a lo que hacen clic.
Los delincuentes oportunistas o aquellos que desean interrumpir las operaciones podrían ser más propensos a atacar al sector . Los CISO que se encuentran en el sector de la salud o que lo abastecen deben recordarle al personal que esté atento a los enlaces y documentos sospechosos, y asegurarse de que sus operaciones sean resistentes a los ataques DDoS.
