Вірусна атака. Як хакери використовують коронавірус, щоб вкрасти ваші гроші

У вересні цього року в Дюссельдорфі сталося те, що можна назвати першою у світі смертю від компʼютерного вірусу. В результаті ransomware-атаки (атаки вірусу-здирника) госпіталь не зміг прийняти пацієнтку, яка приїхала на швидкій допомозі, — не працювала його інформаційна система. Швидка була змушена шукати для постраждалої інший госпіталь, куди її довезти і надати потрібну допомогу не встигли.

Цей випадок поки що одиничний в історії світової охорони здоровʼя та кібербезпеки. Однак атаки, що почастішали під час пандемії, як на акаунти і компʼютери користувачів, так і на цілі платформи можуть призвести і до інших подібних випадків.

Кіберзагрози епохи коронавірусу

В останні 10 місяців, з початком першого всесвітнього локдауну, екран домашнього ноутбука для багатьох перетворився одночасно в робочий інструмент, засіб спілкування з близькими, отримання важливої інформації про події у світі і частково в спосіб добування продуктів харчування (через системи онлайн-замовлення). Практично повний онлайн, у якому світ почав жити в березні 2020 р. і з якого він так досі і не вийшов, став благодатним середовищем для виникнення нових кіберзагроз, так чи інакше повʼязаних з коронавірусом.

По-перше, практично відразу ж зʼявилося безліч фейків про коронавірус. Фахівці ВООЗ назвали величезні потоки фейкового контенту, повʼязаного з COVID-19, інфодемією, порівнявши її загрозу з небезпекою самого вірусу. Але, крім фейків, тему коронавірусу експлуатують автори небезпечних електронних листів і посилань в соціальних мережах, що ведуть на заражені сайти. Ще одна загроза — збільшилася кількість людей, які працюють онлайн, результатом чого стало зростання підроблених сайтів з вірусами, що маскуються під ресурси для оновлення програм.

Автори "коронавірусних" кіберзагроз експлуатують інтерес людей до теми COVID-19 і користуються недосвідченістю і недостатнім рівнем базових знань кібербезпеки.

Вірусна атака

Зловмисники, які розповсюджують компʼютерні віруси, досить часто спекулюють на болючих темах, які точно викличуть реакцію у користувачів. Вірусні атаки давно перестали бути актом тільки "компʼютерного" або "технологічного" тероризму. Поширення вірусів і шкідливого ПЗ — це майже завжди суміш психології і соціальної інженерії, реалізована у вигляді спроби змусити потенційну жертву зробити те, що вона б не зробила у звичайній ситуації. Для цього часто вірусні електронні листи або повідомлення в соціальних мережах маскуються під листи від офіційних державних структур або від знайомих. А ще у їх вміст додаються повідомлення, які напевно викличуть інтерес у одержувачів. Не стала винятком і тема коронавірусу, на якій вирішили спекулювати відправники електронних листів з вкладеними зараженими файлами або з фішинговими посиланнями.

Фішинг — це вид шахрайства, організатори якого намагаються отримати доступ до призначених для користувача даних (логінів, паролів, номерів банківських карт), пропонуючи своїм жертвам ввести ці дані на сайті-підробці. Фішингові посилання ведуть на підроблений сайт, зовні схожий на сайт-оригінал. Користувач вводить на такому сайті свої дані для авторизації (логін і пароль) і тим самим передає інформацію зловмисникам. Фішингова копія під сайт, призначений для оновлень програм, містить заражені файли. Користувач, завантажуючи ці файли, впевнений, що він качає оновлення програмного забезпечення, а насправді завантажує вірус, наслідки установки на компʼютер якого можуть бути плачевними — від шифрування всього диска і неможливості працювати з компʼютером до передачі контролю над компʼютером зловмисникам і, як результат, неможливість працювати з ним.

Коронавірусні кіберзагрози в цифрах

У звіті McAfee Labs Threats Threats Report компанії McAfee відзначається, що число нових шкідливих програм зросло на 11,5% у другій половині 2020 р. Автори звіту підкреслюють, що, хоча людство звикло до того, що тема коронавірусу не йде з порядку денного медіа, теми, повʼязані з пандемією, активно використовуються, щоб привернути увагу людей при поширенні вірусів. Другим фактором, що вплинув на ландшафт кіберзагроз, стала велика кількість співробітників, що працюють з дому.

На початку пандемії атаки були випадковими і розрізненими, але пізніше вони перетворилися в потік шкідливих URL-адрес, завданням яких була атака на користувачів хмарних сервісів. У всіх випадках автори атаки використовували інтерес до отримання додаткової інформації про COVID-19.

Наприклад, McAfee зафіксувала близько 7,5 млн зовнішніх атак на облікові записи користувачів хмарних середовищ.

Звіт іншої компанії, Datto, згадує зростання числа атак з використанням програм-вимагачів, повʼязаний з ростом популярності віддаленої роботи і поширенням хмарних обчислень. Автори звіту зазначають, що найбільш вразливою під час пандемії стала галузь охорони здоровʼя.

Виділяють три основних вектори (напрямки) атак під час пандемії: фішингові електронні листи, хмарні програми та програми для Windows (на які були націлені понад 90% атак-вимагачів).

Коронавірусна пошта

Першими загрозами, повʼязаними з коронавірусом, стали розсилки заражених електронних листів. Їх автори, користуючись інтересом до теми, розсилали листи, в яких були або заражені вкладені файли, або містилися посилання на підроблені сайти. Такі загрози вперше були зафіксовані ще в січні–березні 2020 р.

Наприклад, компанія Mimecast повідомляла про листи з шкідливим PDF-файлом, який містить інформацію про те, як захистити себе від поширення захворювання.

Очевидна спроба зіграти на страху людей у цьому разі цілком зрозуміла, багато одержувачів таких листів завантажать заражений файл. Хоча в цьому разі можна сподіватися, що встановлені і тимчасово оновлені антивіруси на компʼютерах жертв попередять їх про небезпеку.

Проте з фішинговими листами антивіруси найчастіше не справляються. З початком пандемії експерти виявляли велику кількість листів, що маскуються під офіційні оголошення про коронавірус. Ці листи вели на підроблені сайти. Наприклад, ще в лютому експерти зафіксували атаку, в якій зловмисники видавали себе за представників американського Центру з контролю і профілактики захворювань (Centers for Disease Control and Prevention, CDC). В якості адреси відправника зловмисники використовували домен cdc-gov.org, хоча доменне імʼя цієї організації — cdc.gov. Очевидно, що звичайна людина може на такі нюанси і не звернути увагу.

У листі розповідається про те, як CDC займається розробкою заходів боротьби з коронавірусом, і пропонується перейти на сторінку з описом випадків захворювання в регіоні, в якому живе одержувач листа. Примітно, що в листі представлене посилання на нібито офіційний сайт CDC — cdc.gov.

Зовні сайт нагадує інтерфейс Microsoft Outlook, і користувачам пропонується ввести адресу електронної пошти та пароль. Хоча насправді користувачів перенаправляють на підроблену сторінку, завдання якої — роздобути облікові дані у своїх жертв.

Такі підроблені листи не рідкість, зустрічалися і листи з вкладеним небезпечним сайтом, відправлені нібито від імені ВООЗ.

Ще одна фішингова атака — пропозиція пожертвувати криптовалюту на боротьбу з коронавірусом.

В цьому разі користувача може захистити елементарний здоровий глузд — зважаючи на складне законодавче регулювання криптовалют офіційні структури не можуть збирати гроші в біткоїнах або інших крипто-коїнах.

Атаки вимагачів

Агентство ЄС з кібербезпеки (ENISA) у своєму звіті, опублікованому в кінці жовтня, заявило про зростання числа кіберзагроз в період пандемії. Окремо наголошується на загрозі надання медичних послуг через кіберзагрози.

Атаки вірусів-вимагачів (ransomware) стали проблемою для великих інформаційних систем, насамперед для лікарень. І випадок зі смертю жінки з Дюссельдорфі — це тільки один з прикладів реалізації такої атаки, на жаль, найсумніший. Уже в жовтні цього року адміністрація лікарні в Нью-Джерсі була змушена заплатити понад $600 тис. здирникам, які заразили їх лікарняну систему вірусом, який зробив її непрацездатною. На початку жовтня від таких вірусів-вимагачів постраждали як мінімум три американські і сім австралійських лікарень. Ці медичні установи були змушені відмовитися від прийому хворих, поки не була відновлена їх працездатність.

Фейкові додатки

Поширення віддаленої роботи призвело до зростання популярності ще одного виду загроз — підроблених оновлень важливих додатків. Наприклад, уже в листопаді експерти зафіксували підроблені поновлення для Microsoft Teams, додатку для відеоконференцій, який став особливо популярним в період пандемії і локдауну.

Ще навесні в багатьох країнах світу намагалися запустити відстеження хворих і носіїв вірусу за допомогою мобільних додатків. Підроблені мобільні додатки для Covid-19-контактів стали ще одним новим видом коронавірусної кіберзагрози. Такі фейкові додатки були націлені на жителів Канади, США, Бразилії та цілого ряду інших країн. У деяких випадках під такі фейкові додатки ховалися банківські трояни, які крали гроші своїх жертв через додатки для онлайн-банкінгу.

Нові загрози — нові компетентності

Найчастіше першою точкою взаємодії в усіх описаних загрозах була людська помилка. Саме цю вразливість — помилку людини — хакери експлуатували завжди, але в період пандемії ціна такої помилки стала занадто високою. Тому нові кіберзагрози вимагають нових підходів до організації безпеки — як домашніх пристроїв, так і корпоративних систем, і, відповідно, нових знань і компетенцій людей.