此前的一些报道中已经描述了攻击者如何利用新型冠状病毒的大流行来传播恶意软件或者进行敲诈勒索。这种恐慌仍然在蔓延,利用这种恐慌进行攻击仍然还起作用。
许多企业和组织在没有充分准备的情况下就进行了数字化,使自己面临更多潜在威胁。最近很多网络攻击都是利用对新型冠状病毒的恐慌传播虚假信息或虚假新闻、恶意链接、恶意软件等。最近针对医院和医疗结构的攻击以及旨在利用全球疫情恐慌的钓鱼事件与日俱增。
以新型冠状病毒相关的威胁
Microsoft 365 安全副总裁Rob Lefferts表示:“世界上每个国家都至少发生过一次与 COVID-19 相关的攻击,但这些攻击占微软每天可见的攻击仍不到 2%。”
Lefferts 补充说道:“我们的数据表明,与 COVID-19 相关的威胁是对现有攻击的轻微改造,这些攻击只是稍微改进以便于新型冠状病毒的大流行相关”,“这意味着看到的诱饵数量激增,而非实际攻击的暴涨”。
1. 移动恶意软件
Check Point发现了至少 16 个声称提供与疫情爆发有关信息的移动恶意软件。包括广告软件(Hiddad)和银行木马(Cerberus)等,这些软件窃取用户个人信息或进行欺诈性评价服务。
报告表示:“熟练的攻击者正在利用人们对于新型冠状病毒的关注,通过声称能够提供新型冠状病毒相关的信息来帮助用户的移动恶意软件正在传播,包括移动远控木马(MRAT)、银行木马等”。
被发现的所有应用程序都与新创建的与新型冠状病毒有关的域名有关,过去的几周内出现了巨大的增长。
2. 钓鱼邮件
网络安全公司Group-IB声称其发现的大多数与 COVOD-19 有关的钓鱼邮件附件来自 AgentTesla(45%)、NetWire(30%)与 LokiBot(8%),攻击者通过这种方式窃取个人与企业数据。
统计的时间范围在 2020 年 2 月 13 日到 2020 年 4 月 1 日,以世界卫生组织(WHO)、联合国儿童基金会(UNICEF)以及其他国际机构/公司(Maersk、Pekos Valves、CISCO)提供健康咨询的名义发送。
3. 恶意软件打折
Group-IB 还在地下犯罪论坛中发现了超过五百个帖子,用户在推销 DDoS、垃圾邮件与其他恶意软件服务时提供与新型冠状病毒有关的折扣代码。
这与 Check Point 早期发现攻击者以COVID19或coronavirus作为折扣代码在暗网中推广攻击攻击是一致的。
4. 短信钓鱼
美国网络安全和基础设施安全局(CISA)和英国国家网络安全中心(NCSC)近期也披露了利用新型冠状病毒虚假短信诱导钓鱼的事件。
CISA 表示:“除了短信,攻击者可能还利用了包括 WhatsApp 和其他消息服务进行传播。”
5. 口罩与洗手液诈骗
欧洲刑警组织近期逮捕了一名 39 岁来自新加坡的男子,该男子涉嫌企图伪造一家能够快速交付 FFP2 口罩与洗手液的公司,利用该公司将通过企业电子邮件诈骗所得洗白。
一家总部在欧洲、未透露名称的制药公司在付款后未得到任何货物交付,被骗 664 万欧元,供应商失联。欧洲刑警组织此前也查获过 1300 万欧元的危险药品贩运。
6. 恶意附件
随着人们越来越多地使用诸如 Zoom 和 Microsoft Teams 之类的在线通信平台进行工作。攻击者正在发送以zoom-us-zoom_##########.exe和microsoft-teams_V#mu#D_##########.exe为附件名的钓鱼邮件,引诱在设备上下载这些恶意软件。
7. 勒索软件
国际刑警组织表示,网络犯罪分子正试图利用勒索软件攻击战斗在抗击 COVID-19 一线的主要医院和其他机构。
“网络犯罪分子使用勒索软件阻碍医院的医疗服务,加密重要的文件和系统,直到医院支付赎金。”国际刑警组织如是说。
如何防护
CISA 表示:“攻击者为利用新的社会热点会不断调整策略,这次的 COVID-19 大流行也不例外”,“攻击者利用公众对 COVID-19 相关信息的偏好为恶意软件和勒索软件的传播提供机会。个人和组织都应该对此保持高度警惕”。NCSC 也提供了在打开与新型冠状病毒有关的电子邮件以及仿冒网站链接的短信时要注意哪些问题的指导。
通常来说,要避免点击未认证的电子邮件中的链接,并且对电子邮件的附件要保持高度警惕。在使用在线会议时,确保启用密码进行保护,防止视频会议被劫持。相关恶意网站与电子邮件地址整理在GitHub上,感兴趣可以查看。更多相关信息可以查看CISA 的公告进一步阅读。