От фальшивых интерактивных карт регионов распространения коронавируса до мобильных приложений, якобы предупреждающих о приближении к вам зараженных людей – кибер-преступники во всем мире активно эксплуатируют страхи людей перед эпидемией и желание защитить себя и своих близких. Мы уже писали о том, что число фишинговых атак растет во всем мире по мере того, как компании переводят на удаленку все большее число сотрудников.

 

Фишинговые сайты

С начала февраля резко выросла популярность доменных имен, содержащих слова coronavirus и Covid-19, эксперты компании RiskIQ отметили, что за первые же сутки после объявления ВОЗ о начале пандемии число таких адресов возросло с 13 500 до 35 000. По оценкам экспертов, до 10% сайтов по теме коронавируса содержат потенциальные угрозы для ПК. Многие из них попадают в черные списки поисковых систем и браузеров, но ежедневно появляется, в среднем, 2000 новых адресов.

 

Спам-атаки

Специализированная служба Maltiverse выявила более 130 скомпрометированных ссылок, исполняемых файлов и различных документов, в названии которых содержатся слова «коронавирус» и «COVID-19» и которые являются источником заражения. За первый квартал 2020 года компания Trend Micro сообщила о 199 400 спам-сообщениях и 198 000 вредоносных программ, отправленных по всему миру. Это число будет неуклонно расти.

В начале эпидемии, когда страны начали закрывать свои границы на въезд и выезд, жертвы хакеров получали спам-письма с просьбой нажать на фишинговую ссылку, чтобы уточнить данные о рейсах и забронированных гостиничных номерах. Таким образом, злоумышленники воровали учетные данные у невнимательных пользователей.

С объявлением о начале пандемии тактика хакерских атак изменилась: вирусный спам распространяется как бы от имени авторитетных отправителей, таких как Центр по контролю и профилактике заболеваний (CDC), Всемирная организация здравоохранения (WOH), Австралийская медицинская ассоциация (АМА) и министерства здравоохранения разных стран.

Фишинговые электронные письма предлагают получать обновленную статистику по распространению коронавируса, медицинские исследования в этой области и рекомендации по профилактике заболевания. Подчеркивая особую важность информации, в сообщениях предлагается срочно ознакомиться с приложением: исполняемыми файл (например, Conidavis Disease (Covid-19) CURE.exe) или текстовый документ или архив (например, , CoronaVirusSafetyMeasures_pdf).

С начала февраля таким образом распространялся вирус вымогателей Netwalker, который шифрует системные файлы и требует выкуп. По оценкам экспертов, он уже поразил 10% всех организаций Италии, а также атаковал логистическую компанию Toll Group, веб-сайт общественного здравоохранения района Шампейн-Урбана в Иллинойсе, Университетскую клинику Брно в Чешской Республике и многие испанские больницы. Исследования компаний по кибербезопасности показывают, что заражение «компьютерным» коронавирусом происходит повсюду в мире.

Недавно галактика вредоносного программного обеспечения пополнилась «новинкой» под громким названием CoronaVirus, который в середине марта был обнаружен экспертами компании MalwareHunterTeam на фишинговом сайте WiseCleaner, предоставляющем полезные утилиты и программное обеспечение. После загрузки вирус-вымогатель шифрует данные, переименовывает диск C: в CoronaVirus и блокирует экран при перезагрузке компьютера. Для восстановления данных требуется выкуп в размере 0,008 биткойн (около 50 долларов).

 

Хакерские войны

Во время пандемии хакерские группы действуют и в интересах государственных разведывательных служб. Так, 16 марта эксперты по кибербезопасности Malwarebytes Corporation сообщили, что спонсируемая Пакистаном хакерская группа APT36 рассылает от имени Министерства здравоохранения Индии спам с помощью вируса-трояна удаленного доступа Crimson RAT, целью атаки являлась кража данных с компьютеров в индийских государственных учреждениях.

Северокорейская хакерская группа Kimsuky организовала аналогичную спам-рассылку по адресам южнокорейских чиновников в конце февраля, а китайские группы Vicious Panda и Mustang Panda в адрес учреждений правительства Вьетнама.

 

Атаки на смартфоны

В то же время не только ПК, но и смартфон может стать жертвой «коронавируса»: эксперты по кибербезопасности неоднократно сообщали о поддельных мобильных приложениях, которые могут якобы уведомить пользователя о приближении людей, зараженных коронавирусом, приближаются или предлагают купить эксклюзивную маску (например, Coronavirus.Finder, COVID 19 TRACKER, Coronasafetymask).

Эксперты по кибербезопасности также сообщают, что появились вредоносные программы для рассылки спама по всей контактной книге и слежения за пользователем через камеру и микрофон.

 

По материалам сайта 112 International