Impactul COVID-19 asupra criminalității cibernetice

Interpol a publicat o analiză a impactului pandemiei COVID-19 asupra criminalității informatice, evidențiind creșterea volumului de informații false și neverificate (fake news).

Fostul șef Interpol - 13,5 ani de închisoare pentru corupție ...

 

“Creșterea din prezent a numărului de infracțiuni informatice este foarte probabilă și în viitorul apropiat. Vulnerabilitățile asociate cu munca la domiciliu îi va determina pe infractorii cibernetici să își intensifice activitatea și să inventeze scheme ilicite tot mai complexe”, se menționează în raport.

“Va crește în continuare numărul emailurilor de tip phishing legate de diferite produse medicale și cel al atacurilor cibernetice asupra rețelelor corporative, infractorii vizând furtul de date și informații. Hackerii și-au ajustat în mod semnificativ scopurile. Aceștia s-au reorientat către corporații, guverne și site-urile asociate infrastructurii critice”, au menționat oficialii Interpol.

Pe fondul pandemiei COVID-19, numeroase companii private au decis să treacă la sistemul “work-from-home”, însă nu toate au putut oferi un nivel adecvat de protecție cibernetică.

Potrivit analizei, “la nivelul primului trimestru al anului 2020, partenerii Interpol au raportat organizației 907.000 de mesaje spam (59% din sesizări), 737 infecții cu malware (36%) și 48.000 de link-uri către domenii malițioase, conexe tematicii COVID-19 (22%)”.

În cazul mesajelor spam, infractorii au solicitat datele personale ale utilizatorilor, trimițând scrisori în numele autorităților sau organizațiilor cu competențe în domeniul combaterii pandemiei.

De asemenea, au crescut cazurile de utilizare a trojenilor și a altor viruși creați pentru colectarea de date și golirea conturilor bancare.

Atacurile DDoS și utilizarea programelor malițioase ce blochează stațiile de lucru în vederea deblocării contra răscumpărării au devenit mult mai frecvente. Buletinele informative false pe tema coronavirusului sunt de asemenea utilizate ca momeală.

Interpol indică un volum crescut de informații false și neverificate (fake news), care se răspândesc în societate pe fondul fricii și incertitudinii legate de pandemie.

La pachet cu dezinformarea, infractorii cibernetici folosesc diferite scheme frauduloase pentru a-și vinde produsele medicale contrafăcute. Astfel, 14% din numărul total de sesizări venite din partea partenerilor organizației au fost legate de acest subiect.

Ransomware-ul Black Kingdom atacă companiile utilizând o vulnerabilitate a Pulse Secure VPN

Ransomware-ul criptează fișierele din computerle victimelor, adăugându-le extensia .DEMON, solicitând 10 mii de dolari.

image

Operatorii ransomware-ului Black Kingdom atacă întreprinderile care folosesc Pulse Secure VPN.

Programul malițios a intrat într-un honeypot (mecanism pentru detectarea sau respingerea incercarilor de utilizare neautorizata a sistemelor) al companiei poloneze de cyber security REDTEAM.PL, iar cercetătorii au avut astfel posibilitatea de a-l studia și descrie.

Atacatorii exploatează vulnerabilitatea critică CVE-2019-11510  din Pulse Secure VPN, corectată în aprilie 2019. În ciuda numeroaselor notificări de securitate legate de această vulnerabilitate, multe întreprinderi nu și-au actualizat setările Pulse Secure VPN, ceea ce permite Black Kingdom să se desfășoare.

Conform analizei efectuate de specialiștii polonezi, Black Kingdom manifestă persistența în sistem, creând o sarcină (task) falsă Google Chrome care diferă de cea legitimă printr-o singură literă (GoogleUpdateTaskMachineUSA – sarcina creată de Black Kingdom, GoogleUpdateTaskMachineUA – sarcina legitimă Google Chrome).

Aici puteți găsi  o analiză mai detaliată a programului malițios.

Black Kingdom a fost descoperit pentru prima dată în luna efbruarie 2020. Ransomware-ul criptează fișierele din computerul victimelor, adăugându-le extensia .DEMON și solicită 10 mii de dolari în bitcoin pentru a le decripta. Dacă victima refuză să plătească, atacatorii amenință că vor distruge sau vinde fișierele criptate. În momentul scrierii știrii, soldul portofelului Bitcoin indicat în nota de răscumpărare era de doar 0,55 BTC (aproximativ 5.200 USD).

Sursa: https://www.securitylab.ru/news/509198.php

Malware-ul Valak fură date corporative utilizând servere Microsoft Exchange

Experții companiei Cyberreason Nocturnus au publicat un raport potrivit căruia Valak, descoperit și clasificat în anul 2019 ca încărcător de malware, poate fi utilizat în prezent drept malware independent, acesta vizând atât persoane, dar mai ales companii.

Valak se răspândește prin atacuri tip phishing și documente Microsoft Word ce conțin macro-uri dăunătoare.

valak-1

Astfel, dacă Valak a intrat în sistem, un fișier .DLL intitulat U.tmp este descărcat în mașina infectată și salvat într-un folder temporar. Apoi se execută WinExec API și se încarcă un cod JavaScript, stabilindu-se astfel conexiunea cu serverele de gestionare. După aceea, fișiere suplimentare sunt descărcate în gazda infectată, fiind decodate cu Base64 și XOR.

Valak-45

Pentru a se instala și mai temeinic într-un sistem compromis, malware-ul aduce modificări regiștrilor și generează o sarcină programată, Valak continuând să descarce și să ruleze modulele responsabile pentru detectarea și furtul datelor.

Cele două playload principale (project.aspx și a.aspx) îndeplinesc funcții diferite. Prima gestionează cheile de registru, programarea sarcinilor și activitatea dăunătoare, iar a doua (nume intern PluginHost.exe) reprezintă un fișier executabil pentru gestionarea componentelor suplimentare ale malware-ului.

Modulul ManagedPlugin are o varietate de funcții: colectează informații despre sistem (date locale și domenii), are o funcție Exchgrabber al cărei scop este să pătrundă Microsoft Exchange prin furtul de credențiale și certificate de domeniu, are funcție de verificare a geolocalizării și captură de ecran; conține un instrument Netrecon pentru inspectarea rețelei.

Valak-29

Furtul datelor confidențiale oferă atacatorilor accesul la utilizatorul domeniului intern, adică acces la serviciile de poștă internă ale respectivei organizații, precum și acces la certificatul de domeniu al acesteia.

Valak-51

Deținând systeminfo, atacatorii pot să-și dea seama care utilizator este administratorul domeniului, aparând riscul scurgerilor de date confidențiale sau cyber spionaj. Acest aspect demonstrează că malware-ului Valak vizează în primul rând întreprinderile.

Sursa: https://xakep.ru/2020/05/28/valak/