Вирусная атака. Как хакеры используют коронавирус, чтобы украсть ваши деньги

В сентябре этого года в Дюсельдорфе случилось то, что можно назвать первой в мире смертью от компьютерного вируса. В результате ransomware-атаки (атаки вируса-вымогателя) госпиталь не смог принять приехавшую на скорой помощи пациентку – не работала его информационная система. Скорая была вынуждена искать для пострадавшей другой госпиталь, куда ее довезти и оказать нужную помощь не успели.

Этот случай пока единичный в истории мирового здравоохранения и кибербезопасности. Однако участившиеся во время пандемии атаки как на аккаунты и компьютеры пользователей, так и на целые платформы, могут привести и к другим подобным случаям.

Киберугрозы эпохи коронавируса

В последние 10 месяцев, с началом первого всемирного локдауна, экран домашнего ноутбука для многих превратился одновременно в рабочий инструмент, средство общения с близкими, получения важной информации о событиях в мире и отчасти в способ добычи продуктов питания (через системы онлайн-заказа). Практически полный онлайн, в котором мир начал жить в марте 2020 года, и из которого он так до сих пор и не вышел, стал благодатной средой для возникновения новых киберугроз, так или иначе связанных с коронавирусом.

Во-первых, практически сразу же появилось множество фейков о коронавирусе. Специалисты ВОЗ назвали огромные потоки фейкового контента, связанного с COVID-19, инфодемией, сравнив ее угрозу с опасностью самого вируса. Но кроме фейков, тему коронавируса эксплуатируют авторы опасных электронных писем и ссылок в социальных сетях, ведущих на зараженные сайты. Еще одна угроза – увеличившееся количество людей, работающих онлайн, результатом чего стал рост поддельных сайтов с вирусами, маскирующихся под ресурсы для обновления приложений.

Авторы "коронавирусных" киберугроз эксплуатируют интерес людей к теме COVID-19 и пользуются неопытностью и недостаточным уровнем базовых знаний кибербезопасности.

Вирусная атака

Злоумышленники, распространяющие компьютерные вирусы, довольно часто спекулируют на болезненных темах, тех, которые точно вызовут реакцию у пользователей. Вирусные атаки давно перестали быть актом только "компьютерного" или "технологического" терроризма. Распространение вирусов и зловредного ПО – это почти всегда смесь психологии и социальной инженерии, реализованная в виде попытки заставить потенциальную жертву сделать то, что она бы не сделала в обычной ситуации. Для этого часто вирусные электронные письма или сообщения в социальных сетях маскируются под письма от официальных государственных структур или от знакомых. А еще в их содержимое добавляются сообщения, которые наверняка вызовут интерес у получателей. Не стала исключением и тема коронавируса, на которой решили спекулировать отправители электронных писем с вложенными зараженными файлами или с фишинговыми ссылками.

Фишинг — это вид мошенничества, организаторы которого пытаются получить доступ к пользовательским данным (логинам, паролям, номерам банковских карт), предлагая своим жертвам ввести эти данные на сайте-подделке. Фишинговые ссылки ведут на поддельный сайт, внешне похожий на сайт-оригинал. Пользователь вводит на таком сайте свои данные для авторизации (логин и пароль) и тем самым передает информацию злоумышленникам. Фишинговая копия под сайт, предназначенный для обновлений программ, содержит зараженные файлы. Пользователь, скачивая эти файлы, уверен, что он качает обновление програмного обеспечения, а на самом деле загружает вирус, последствия установки на компьютер которого могут быть весьма плачевными – от шифрования всего диска и невозможности работать с компьютером до передачи контроля над компьютером злоумышленникам и, как результат, невозможности работать с ним.

Коронавирусные киберугрозы в цифрах

В отчете McAfee Labs Threats Threats Report компании McAfee отмечается, что число новых вредоносных программ выросло на 11,5% во второй половине 2020 года. Авторы отчета подчеркивают, что, хотя человечество привыкло к тому, что тема коронавируса не уходит с повестки дня медиа, темы, связанные с пандемией, активно используются для привлечения внимания людей при распространении вирусов. Вторым фактором, повлиявшим на ландшафт киберугроз, стало большое количество сотрудников, работающих из дома.

В начале пандемии атаки были случайными и разрозненными, но позже они превратились в поток вредоносных URL-адресов, задачей которых была атака на пользователей облачных сервисов. Во всех случаях авторы атаки использовали интерес к получению дополнительной информации о COVID-19.

Например, McAfee зафиксировала около 7,5 млн внешних атак на учетные записи пользователей облачных сред.

Отчет другой компании, Datto, упоминает рост числа атак с использованием программ-вымогателей, связанный с ростом популярности удаленной работы и распространением облачных вычислений. Авторы отчета отмечают, что наиболее уязвимой во время пандемии стала отрасль здравоохранения.

Выделяют три основных вектора (направления) атак во время пандемии: фишинговые электронные письма, облачные приложения и приложения для Windows (на которые было нацелено более 90% атак-вымогателей).

Коронавирусная почта

Первыми угрозами, связанными с коронавирусом, стали рассылки зараженных электронных писем. Их авторы, пользуясь интересом к теме, рассылали письма, в которых были либо зараженные вложенные файлы, либо содержались ссылки на поддельные сайты. Такие угрозы впервые были зафиксированы еще в январе-марте 2020 года.

Например, компания Mimecast сообщала о письмах с вредоносным PDF-файлом, который содержит информацию о том, как защитить себя от распространения заболевания.

Очевидная попытка сыграть на страхе людей в этом случае вполне понятна, многие получатели таких писем скачают зараженный файл. Хотя в этом случае можно надеяться, что установленные и временно обновленные антивирусы на компьютерах жертв предупредят их об опасности.

В то же время, с фишинговыми письмами антивирусы, чаще всего, не справляются. С началом пандемии эксперты обнаруживали большое количество писем, маскирующихся под официальные объявления о коронавирусе. Эти письма вели на поддельные сайты, например, еще в феврале

эксперты зафиксировали атаку, в которой злоумышленники выдавали себя за представителей американского Центра по контролю и профилактике заболеваний (Centers for Disease Control and Prevention, CDC). В качестве адреса отправителя злоумышленники использовали домен cdc-gov.org, хотя настоящее доменное имя этой организации — cdc.gov. Очевидно, что обычный человек может на такие нюансы и не обратить внимание.

В письме рассказывается о том, как CDC занимается разработкой мер борьбы с коронавирусом и предлагается перейти на страницу с описанием случаев заболевания в регионе, в котором живет получатель письма. Примечательно, что в письме представлена ссылка на якобы официальный сайт CDC — cdc.gov.

Внешне сайт напоминает интерфейс Microsoft Outlook и пользователям предлагается ввести адрес электронной почты и пароль. Хотя на самом деле пользователей перенаправляют на поддельную страницу, задача которой – заполучить учетные данные у своих жертв.

Такие поддельные письма – не редкость, встречались и письма с вложенным опасным сайтом, отправленные якобы от имени ВОЗ.

Еще одна фишинговая атака – предложение пожертвовать криптовалюту на борьбу с коронавирусом.

В этом случае пользователя может защитить элементарный здравый смысл – ввиду сложного законодательного регулирования криптовалют официальные структуры не могут собирать деньги в биткоинах или других крипто-коинах.

Атаки вымогателей

Агентство ЕС по кибербезопасности (ENISA) в своем отчете, опубликованном в конце октября, заявило о росте числа киберугроз в период пандемии. Отдельно отмечается угроза предоставлению медицинских услуг по причине киберугроз.

Атаки вирусов-вымогателей (ransomware) стали проблемой для больших информационных систем, прежде всего, для больниц. И случай со смертью женщины из Дюсельдорфа — это только один из примеров реализации такой атаки, к сожалению, самый печальный. Уже в октябре этого года администрация больницы в Нью-Джерси была вынуждена заплатить более $600 тыс вымогателям, заразившим их больничную систему вирусом, который сделал ее неработоспособной. В начале октября от таких вирусов-вымогателей пострадало как минимум три американских и семь австралийских больниц. Эти медицинские учреждения были вынуждены отказаться от приема больных, пока не была восстановлена их работоспособность.

Фейковые приложения

Распространение удаленной работы привело к росту популярности еще одного вида угроз – поддельных обновлений важных приложений. Например, уже в ноябре эксперты зафиксировали поддельные обновления для Microsoft Teams, приложения для видеоконференций, которое стало особенно популярным в период пандемии и локдауна.

Еще весной во многих странах мира пытались запустить отслеживание больных и носителей вируса с помощью мобильных приложений. Поддельные мобильные приложения для Covid-19-контактов стали еще одним новым видом коронавирусной киберугрозы. Такие фейковые приложения были нацелены на жителей Канады, США, Бразилии и целого ряда других стран. В некоторых случаях под такие фейковые приложения прятались банковские трояны, которые крали деньги своих жертв через приложения для онлайн-банкинга.

Новые угрозы – новые компетентности

Чаще всего первой точкой взаимодействия во всех описанных угрозах была человеческая ошибка. Именно эту уязвимость – ошибку человека – хакеры эксплуатировали всегда, но в период пандемии цена такой ошибки стала слишком высокой. Поэтому новые киберугрозы требуют новых подходов к организации безопасности – как домашних устройств, так и корпоративных систем, и, соответственно, новых знаний и компетенций людей.