此前的一些報(bào)道中已經(jīng)描述了攻擊者如何利用新型冠狀病毒的大流行來(lái)傳播惡意軟件或者進(jìn)行敲詐勒索。這種恐慌仍然在蔓延，利用這種恐慌進(jìn)行攻擊仍然還起作用。

許多企業(yè)和組織在沒(méi)有充分準(zhǔn)備的情況下就進(jìn)行了數(shù)字化，使自己面臨更多潛在威脅。最近很多網(wǎng)絡(luò)攻擊都是利用對(duì)新型冠狀病毒的恐慌傳播虛假信息或虛假新聞、惡意鏈接、惡意軟件等。最近針對(duì)醫(yī)院和醫(yī)療結(jié)構(gòu)的攻擊以及旨在利用全球疫情恐慌的釣魚(yú)事件與日俱增。

以新型冠狀病毒相關(guān)的威脅

Microsoft 365 安全副總裁Rob Lefferts表示：“世界上每個(gè)國(guó)家都至少發(fā)生過(guò)一次與 COVID-19 相關(guān)的攻擊，但這些攻擊占微軟每天可見(jiàn)的攻擊仍不到 2%。”

Lefferts 補(bǔ)充說(shuō)道：“我們的數(shù)據(jù)表明，與 COVID-19 相關(guān)的威脅是對(duì)現(xiàn)有攻擊的輕微改造，這些攻擊只是稍微改進(jìn)以便于新型冠狀病毒的大流行相關(guān)”，“這意味著看到的誘餌數(shù)量激增，而非實(shí)際攻擊的暴漲”。

1. 移動(dòng)惡意軟件

Check Point發(fā)現(xiàn)了至少 16 個(gè)聲稱(chēng)提供與疫情爆發(fā)有關(guān)信息的移動(dòng)惡意軟件。包括廣告軟件(Hiddad)和銀行木馬(Cerberus)等，這些軟件竊取用戶個(gè)人信息或進(jìn)行欺詐性評(píng)價(jià)服務(wù)。

報(bào)告表示：“熟練的攻擊者正在利用人們對(duì)于新型冠狀病毒的關(guān)注，通過(guò)聲稱(chēng)能夠提供新型冠狀病毒相關(guān)的信息來(lái)幫助用戶的移動(dòng)惡意軟件正在傳播，包括移動(dòng)遠(yuǎn)控木馬(MRAT)、銀行木馬等”。

被發(fā)現(xiàn)的所有應(yīng)用程序都與新創(chuàng)建的與新型冠狀病毒有關(guān)的域名有關(guān)，過(guò)去的幾周內(nèi)出現(xiàn)了巨大的增長(zhǎng)。

2. 釣魚(yú)郵件

網(wǎng)絡(luò)安全公司Group-IB聲稱(chēng)其發(fā)現(xiàn)的大多數(shù)與 COVOD-19 有關(guān)的釣魚(yú)郵件附件來(lái)自 AgentTesla(45%)、NetWire(30%)與 LokiBot(8%)，攻擊者通過(guò)這種方式竊取個(gè)人與企業(yè)數(shù)據(jù)。

統(tǒng)計(jì)的時(shí)間范圍在 2020 年 2 月 13 日到 2020 年 4 月 1 日，以世界衛(wèi)生組織(WHO)、聯(lián)合國(guó)兒童基金會(huì)(UNICEF)以及其他國(guó)際機(jī)構(gòu)/公司(Maersk、Pekos Valves、CISCO)提供健康咨詢的名義發(fā)送。

3. 惡意軟件打折

Group-IB 還在地下犯罪論壇中發(fā)現(xiàn)了超過(guò)五百個(gè)帖子，用戶在推銷(xiāo) DDoS、垃圾郵件與其他惡意軟件服務(wù)時(shí)提供與新型冠狀病毒有關(guān)的折扣代碼。

這與 Check Point 早期發(fā)現(xiàn)攻擊者以COVID19或coronavirus作為折扣代碼在暗網(wǎng)中推廣攻擊攻擊是一致的。

4. 短信釣魚(yú)

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)近期也披露了利用新型冠狀病毒虛假短信誘導(dǎo)釣魚(yú)的事件。

CISA 表示：“除了短信，攻擊者可能還利用了包括 WhatsApp 和其他消息服務(wù)進(jìn)行傳播。”

5. 口罩與洗手液詐騙

歐洲刑警組織近期逮捕了一名 39 歲來(lái)自新加坡的男子，該男子涉嫌企圖偽造一家能夠快速交付 FFP2 口罩與洗手液的公司，利用該公司將通過(guò)企業(yè)電子郵件詐騙所得洗白。

一家總部在歐洲、未透露名稱(chēng)的制藥公司在付款后未得到任何貨物交付，被騙 664 萬(wàn)歐元，供應(yīng)商失聯(lián)。歐洲刑警組織此前也查獲過(guò) 1300 萬(wàn)歐元的危險(xiǎn)藥品販運(yùn)。

6. 惡意附件

隨著人們?cè)絹?lái)越多地使用諸如 Zoom 和 Microsoft Teams 之類(lèi)的在線通信平臺(tái)進(jìn)行工作。攻擊者正在發(fā)送以zoom-us-zoom_##########.exe和microsoft-teams_V#mu#D_##########.exe為附件名的釣魚(yú)郵件，引誘在設(shè)備上下載這些惡意軟件。

7. 勒索軟件

國(guó)際刑警組織表示，網(wǎng)絡(luò)犯罪分子正試圖利用勒索軟件攻擊戰(zhàn)斗在抗擊 COVID-19 一線的主要醫(yī)院和其他機(jī)構(gòu)。

“網(wǎng)絡(luò)犯罪分子使用勒索軟件阻礙醫(yī)院的醫(yī)療服務(wù)，加密重要的文件和系統(tǒng)，直到醫(yī)院支付贖金。”國(guó)際刑警組織如是說(shuō)。

如何防護(hù)

CISA 表示：“攻擊者為利用新的社會(huì)熱點(diǎn)會(huì)不斷調(diào)整策略，這次的 COVID-19 大流行也不例外”，“攻擊者利用公眾對(duì) COVID-19 相關(guān)信息的偏好為惡意軟件和勒索軟件的傳播提供機(jī)會(huì)。個(gè)人和組織都應(yīng)該對(duì)此保持高度警惕”。NCSC 也提供了在打開(kāi)與新型冠狀病毒有關(guān)的電子郵件以及仿冒網(wǎng)站鏈接的短信時(shí)要注意哪些問(wèn)題的指導(dǎo)。

通常來(lái)說(shuō)，要避免點(diǎn)擊未認(rèn)證的電子郵件中的鏈接，并且對(duì)電子郵件的附件要保持高度警惕。在使用在線會(huì)議時(shí)，確保啟用密碼進(jìn)行保護(hù)，防止視頻會(huì)議被劫持。相關(guān)惡意網(wǎng)站與電子郵件地址整理在GitHub上，感興趣可以查看。更多相關(guān)信息可以查看CISA 的公告進(jìn)一步閱讀。