Ameaças cibernéticas durante o COVID-19, uma investigação da Telco Security Alliance

A Telco Security Alliance (TSA) é composta pela AT&T (AT&T Cybersecurity), Etisalat (HelpAG), Singtel (Trustwave), SoftBank e Telefónica (ElevenPaths) . Essa aliança visa fornecer às empresas informações abrangentes sobre segurança cibernética para ajudá-las a enfrentar a crescente ameaça de ataques cibernéticos e o cenário de ameaças em evolução.

Três dos membros, por meio de suas unidades de segurança cibernética (AT&T Cybersecurity (Alien Labs) , Singtel (Trustwave) e Telefónica (ElevenPaths)) , produziram um relatório com as descobertas mais relevantes relacionadas ao COVID-19 nos últimos meses.

Por ElevenPaths , participaram Miguel Angel de Castro, José Ramón Palanco, Helene Mindeguia Aguirre e Sebastián García de Saint-Léger.

Evolução das ameaças cibernéticas durante a pandemia

O cenário de ameaças cibernéticas evoluiu rapidamente desde o início da pandemia do COVID-19. Os membros da TSA viram um aumento acentuado de atividades maliciosas, aproveitando a situação vulnerável de nações e organizações.

Os criminosos cibernéticos cada vez mais tentam lucrar financeiramente por métodos oportunistas , obtêm acesso não autorizado a redes para benefícios estratégicos imediatos e de longo prazo e espalham informações falsas para um determinado objetivo político. A TSA investigou vários atores que operam continuamente na área de crimes cibernéticos e atacou organizações privadas e agências governamentais durante a pandemia.

Por fim, a pandemia do COVID-19 ofereceu novas oportunidades que os atacantes rapidamente começaram a aproveitar e continuarão a fazê-lo pelo maior tempo possível. Tanto as organizações de proteção ao crime quanto os estados-nações responderam historicamente a eventos de grande escala de maneira semelhante; no entanto, o impacto mundial do COVID-19 aparentemente elevou a fasquia para o valor operacional dos ataques.

Para se ter uma ideia desse aumento, o crescimento do número de indicadores de compromisso (IoCs) relacionados ao COVID-19 compartilhados pelo TSA aumentou 2000% entre fevereiro e março deste ano.

A distribuição por tipo de IoCs coletadas desde o início da pandemia pode ser vista abaixo:

Este gráfico mostra a porcentagem da distribuição de indicadores de comprometimento e nos dá uma idéia do tipo de atividade maliciosa gerada durante toda a pandemia. Notavelmente, o fragmento de domínios maliciosos se destaca, cobrindo 44% de todos os indicadores e denotando o grande número de domínios que foram criados para fins fraudulentos.

As ameaças cibernéticas investigadas têm múltiplos interesses (econômicos, acesso a sites restritos para obter vantagens estratégicas, desinformação etc.) e provêm de diferentes tipos de atores, como organizações criminosas ou organizações vinculadas a estados.

Contribuições para a pesquisa ElevenPaths

A vingança ataca novamente: ataques de phishing em todo o mundo

Um exemplo do trabalho realizado pelos analistas da ElevenPaths foi a descoberta do grupo de criminosos cibernéticos conhecido como Vendetta, focado em campanhas de phishing usando email , principalmente usando COVID-19, e ativo em muitos países como Taiwan, China, Austrália, Egito ou México.

Especificamente, um ataque de phishing foi detectado através de e-mails posando como diretor do Centro de Prevenção e Controle de Doenças de Taiwan. Nesses e-mails, o destinatário foi informado de suspeita de infecção pelo COVID-19 após a detecção de casos positivos nas proximidades e o forçou a fazer o teste. Além disso, eles anexaram um arquivo com instruções sobre como fazê-lo. Este arquivo continha malware com o qual os atacantes infectaram vítimas.

Escondendo e escondendo RATs em ZIPs

Nesse caso, o HustlKing lançou uma campanha de e – mail na qual anexou um ZIP executável que realmente contém RATS compactado (Remote Access Troyans) . Para enganar as vítimas, eles mudaram o ícone do zip para um PDF:

Esses RATs são programas executáveis ​​que contêm Keyloggers, roubam senhas, servem para baixar outras cargas úteis e para baixar ramsonware . Depois que a vítima clica no ZIP, ela é executada automaticamente e persiste; isto é, mesmo que reinicie, reinicie com o computador. Depois que os programas são executados em segundo plano e começam a roubar as informações, eles são comunicados diretamente via Pastebin a um C&C (Comand e Controle ou Comando e Controle), que é uma infraestrutura de comando e controle composta por servidores e outros elementos. que são usados ​​para controlar malware .

Conclusões da pesquisa

Em geral, e em conclusão, vale destacar o bom trabalho realizado pelo setor de segurança cibernética, que você está tomando as ações corretas para lidar com o enorme aumento de ataques cibernéticos durante esta crise de saúde global.

Como visto neste relatório, a pandemia do COVID-19 foi submetida a vários abusos maliciosos por grupos patrocinados pelo Estado e por outros grupos oportunistas. Globalmente, os atacantes mudaram os ataques para temas e alvos focados no COVID-19, e espera-se que esses ataques continuem evoluindo para novas áreas com a maior probabilidade de sucesso para concluir a missão do adversário. Os atacantes oportunistas, que frequentemente buscam ganhos financeiros, viram a pandemia se tornar um tópico ideal em grandes alvos, já que o COVID-19 tem sido universalmente o tópico mais importante.

---

Relatório completo disponível aqui:

Click to access covid19-insight-from-the-telco-security-alliance.pdf