Coronavirus マルウェア: Cyber Threats Rising

トピック

Threat Detection, Cybersecurity, Phishing Resistance, Security

マルウェア、ランサムウェア、フィッシング攻撃、ソーシャルエンジニアリング戦略などのサイバー脅威は、COVID-19の発生以来増加しています。デジタル環境は変化し、人々の生活の多くがオンラインに移行しています。この動きに伴い、悪質な人物も新しく複雑なサイバー犯罪の手法で進化しています。IT部門は、これらの攻撃がどのようなものかを知ることで、攻撃を防止し、阻止するための最善の方法を見つけるのに役立ちます。パンデミック時にサイバー脅威から身を守るには、攻撃を防止、ブロック、阻止するための優れたサイバーハイジーンとセキュリティの実践を備えた多面的なアプローチが必要です。

パンデミック時に増加したサイバー攻撃

パンデミック前からFBIへのサイバーセキュリティに関する苦情は 400%急増しており、コロナウイルスの発生前は1日あたり約1,000件だったのに対し、1日あたり約4,000件に増加しています。世界が不確実なときはいつでも、犯罪者は注意を払い、人々の不安やオンライントレンドの変化による潜在的な弱点を悪用する方法を探します。パンデミックに伴い、不安が高まり、サイバー攻撃の範囲と数、そしてこれらの攻撃の成功が増加しています。在宅勤務をする人が増えているため、ネットワークの不安やサイバー脆弱性の増大が生じています。さらに、人々は銀行取引、ショッピング、そしてより多くのビジネスをオンラインで行っています。これは、彼らがより多くの財務情報と個人情報をデジタルフォームに入力し、ITをハッカーやサイバー攻撃に対して脆弱にしていることを意味します。パンデミック時に進化するサイバー脅威は、ヘルスケア組織、金融サービス、小売業、行政機関を標的にしています。また、詐欺師は恐怖につけこみ、偽のコロナウイルスEメールやWebサイトを利用してサイバー犯罪を永続させています。

コロナウイルスによる脅威の進化

当局が公衆衛生上の危機に注意を移す中、インターポールは、ITがサイバー防御のダウンを意味する可能性があるため、サイバー犯罪者がこれを悪用していると警告しています。サイバー犯罪者は、主要な役人が他のことに対処するのに手一杯のときに、システムやネットワークにアクセスしようとします。パンデミック初期のソーシャルエンジニアリングの戦術は、COVID-19の情報を利用してユーザーを罠にかけようとしていましたが、現在ではコロナウイルスの求人情報や学校の最新情報にも移行しています。たとえば、偽の健康調査は、学校が詳細を求めているように、より多くの情報を求めています。また、パンデミックにより多くの失業が発生し、新たな雇用機会を求める人が増えています。これにより、詐欺師は異なる形式の餌を使うことができます。新しい雇用機会に関する情報を持っているための詐欺的なEメールクレームは、一般的なフィッシング戦術です。

ヘルスケア組織への脅威

ヘルスケア組織と病院は、コロナウイルスによるサイバー犯罪の増加の主な被害者です。 WebCISA(Cybersecurity & Infrastructure Security Agency)の報告によると、プライベートな健康データはダークの財務データよりも価値が高く、その価値は20倍も高く、健康・公衆衛生(HPH)セクターはサイバー犯罪の主要な標的となっています。ランサムウェアは、ヘルスケア業界でますます効果的になっています。これらの機関は、ケアを提供するためにシステムにアクセスできなければならず、ロックアウトされるわけにはいきません。ヘルスケアには、急速に成長し進化する技術環境、予算の制約、非常に価値のあるデータ、一貫性のないサイバー衛生慣行、そして多くの場合、過労で低賃金のスタッフがあり、サイバー攻撃のリスクを高める可能性があります。これらは、パンデミックに直接関連するヘルスケアセクターの課題の一部です。

感染拡大を抑えるためにリモートワークに急速に移行した結果、ユーザーの訓練が不十分になったり、ワークテクノロジーやクラウド環境の設定ミスが発生したり、エンドポイント保護が欠如したりしました。
健康危機のグローバルなスコープには、グローバルな調整、リスクの進化、支援と援助の選択肢の減少が必要です。
パンデミックの長期化は、継続的な不確実性と経済的影響を生みます。
新しい作業環境のためのセキュリティツールの調達と実装は迅速に行われ、必要なほど徹底されていませんでした。

COVID-19 を使用した脅威の種類

COVID-19に関連するサイバー攻撃の数は、米国では2020年4月から5月にかけて1日あたり 2万件から3 万件に達しました。これは、ウイルスの台頭だけでなく、世界的な傾向にも従ったものです。世界保健機関(WHO)がCOVID-19を世界的な健康上の緊急事態と宣言した途端、ウイルスの発生を反映してサイバー犯罪が増加し始めました。サイバー犯罪者がサイバー犯罪攻撃でCOVID-19を直接使用する方法はいくつかあります。

悪意のあるドメイン: インターネット上の登録ドメインでは、「COVID-19」、「コロナウイルス」、「コロナウイルスウイルス対策」、「コロナウイルス対策」、「covid19」という用語が使用されており、フィッシング攻撃、スパムキャンペーンの実行、またはマルウェアの拡散に使用されています。
組み込むマルウェア: コロナウイルスのウェブサイトとマッピングは、多くの場合、インタラクティブです。これらの一部は正当ではなく、代わりにスパイウェア、マルウェア、またはトロイの木馬が含まれています。
Spam E メール: E メール contained ヘッダー about COVID-19 は、多くの場合、ユーザーを誘導してリンクをクリックさせ、マルウェアをダウンロードさせようとします。
Business E メール漏洩/侵害 (BEC) 詐欺: これは、健康危機を直接使用する別のタイプのスパムおよび詐欺Eメールであり、多くの場合、救済組織を装い、サポート努力のためにお金またはビットコインを求めます。
ランサムウェア攻撃: コンピュータシステムやネットワークの脆弱性が悪用されたり、ユーザーがEメールを開き、感染した添付ファイルやリンクを使用してマルウェアをダウンロードしたりして、システムをロックダウンし、コンピュータネットワークやデータを人質に取る。アクセスを取り戻すために支払いが必要です。
モバイルの脅威: COVID-19の症例を追跡するために設計されたと思われる悪意のあるアプリを使用しているこれらのアプリは、実際には電話をロックダウンし、アクセスを回復するためにビットコインの支払いを要求するランサムウェアの一種です。
ブラウザアプリ: 偽のCOVID-19情報アプリは、世界保健機関(WHO)のような既知の組織からのものと思われ、LinksysまたはD-Linkルーターのルーターの DNS (DNS)設定をハッキングします。これにより、Webブラウザが自動的に開き、ユーザーに「COVID-19 Informアプリ」をクリックしてダウンロードするように要求するアプリからのアラートが表示されます。これにより、ブラウザの履歴、ブラウザCookie、保存されたログイン認証情報、ブラウザの支払い情報などを盗むマルウェアの亜種がインストールされます。
ソーシャルエンジニアリング: パンデミック時の最大かつ最も有名な攻撃の1つは、 Twitterのハッキングです。10代のハッカーは、物理的な方法を使用して携帯電話を制御し、Twitterの従業員に自分がTwitter IT の従業員であることを説得して、知名度の高いTwitterユーザーアカウントにアクセスすることができました。そのアクセスで、彼は人々をだまして、有名な企業経営者、有名人、政治家になるためのクレームによって彼にビットコインを送るようにしました。
セクストーション詐欺: セクストーション詐欺は通常、E メールを介してユーザーを脅迫し、Web履歴またはWebカメラにアクセスできるとし、サイバー犯罪者は漏洩/侵害の立場で彼らの証拠を持っているとクレームします。その後、彼らは支払いを要求し、さもなければこの情報は公開または公開されます。この詐欺のコロナウイルス版は、支払いが行われない場合、ターゲットまたはその家族がウイルスに感染すると脅迫しています。

サイバー犯罪者は、コロナウイルスの研究開発に取り組む会社概要も標的にし、機密情報を盗もうとしています。ワクチン探しの初期に、FBIは、外国政府のハッカーがウイルスの治療とワクチンに取り組んでいるヘルスケアや研究機関を標的にしていると警告を発しました。

マルウェアとコロナウイルス

サイバー犯罪者の進化に伴い、マルウェアはますます複雑化しています。パンデミック中に発生したマルウェアに関する主要な脅威の1つは、MBR書き換えマルウェアです。このタイプのマルウェアは、コンピュータのマスターブートレコード(MBR)を書き換えたり、ファイルを消去したりして、ITが感染したシステムを破壊することができます。これらのマルウェアの亜種は、コロナウイルスをテーマに、金銭的な利益を求めるのではなく、破壊するために使用します。

MBR書き換えマルウェア: コロナウイルスをテーマにしたマルウェアは、ファイルを消去するか、MBRを書き換える5つのウイルス種が確認されています。これらのバリアントの 1 つである COVID-19.exe、コンピューターに感染し、Windowsタスクマネージャーを無効にして、閉じることができないウィンドウを表示します。ユーザーがこのウィンドウを管理しようとしている間、マルウェアはバックグラウンドで検出されずにMBRを書き換えています。その後、PCが再起動され、新しいMBRがトリガーされ、ユーザーはプリブート画面にブロックされます。
MBR書き換えマルウェアの別の系統は、「CoronaVirusランサムウェア」を装い、ランサムウェアを模倣してパスワードを盗み、ITの真の目的を不明にしました。ランサムウェアは見せかけにすぎませんでした。データが盗まれるとすぐに、マルウェアはMBRを書き換え、ユーザーをプリブートメッセージにブロックし、PCへのアクセスを拒否します。ユーザーが自分のPCにアクセスできず、身代金要求メモが表示されていたため、ほとんどの人はアプリのパスワードが盗まれたかどうかを確認しようとは思わないでしょう。
フィッシングとコロナウイルス: データ漏洩の大部分( 85%)は、コンピューターコードの欠陥を悪用するのではなく、人間のユーザーを直接標的にしています。これらのデータ漏洩の半分以上は、フィッシングスキームなど、ログイン認証情報を盗むことを目的としたスキームです。コロナウイルスに関連するフィッシングスキームでは、通常、E メールヘッダーを使用するか、一部のフォームにパンデミックに関する情報が含まれています。これらの詐欺は、感染したリンクをクリックさせたり、悪意のある添付ファイルをダウンロードさせたりして、ログイン認証情報などの機密データを盗もうとします。これらのフィッシング詐欺は、多くの場合、ユーザーを偽のログインフィールドに誘導し、Facebookなどの正当なログインポータルのように見えます。ユーザーが認証情報を入力すると、ハッカーはユーザーのアカウントにアクセスできるようになり、侵入してユーザーをロックアウトし、アプリに含まれるすべての個人情報を盗むことができます。 2020年のフィッシング詐欺は2019年から2倍以上に増加し、詐欺師はフィッシングEメールやテキストメッセージをさまざまな方法で使用しています。これらの詐欺には、次のようなものが含まれます。
- COVID-19ワクチンに関する偽の調査で、メーカー(ファイザー、モデルナ、アストラゼネカ)のいずれかから来たように偽装し、ユーザーが銀行またはクレジットカードを提供すれば報酬を約束します。
- Eメール、電話、またはテキストメッセージのクレームワクチン宝くじのある州で予防接種を受け、銀行データまたは社会保障番号を要求して賞金を請求するための多額の現金報酬。
- FEMA(連邦緊急事態管理庁)の職員になりすまし、電子メール、電話、またはテキストメッセージを通じて、COVID-19に関連する葬儀費用の救済を提供する連邦プログラムに個人を「登録」することにより、個人情報を取得します。このプログラムは本物ですが、フィッシング詐欺は情報を求めますが、FEMAは直接それを行うことはありません。
- IRS(内国歳入庁)またはその他の政府機関からの電話、電子メール、およびテキストメッセージで、手数料を支払うか、リンクをクリックするか、社会保障番号などの個人データを確認して刺激小切手を確保するように人々にアドバイスします。
- Facebookのメッセージは、個人情報や機密情報を入力して「COVID-19救済助成金」を提供するクレームです。
ランサムウェアとコロナウイルス: ランサムウェアは、サイバー犯罪者が被害者のシステムにアクセスし、通常はマルウェアを使用してITを乗っ取り、制御を取り戻すために身代金の支払いを要求するハッキングです。ランサムウェアには、データ侵害、会社概要または組織を恐喝し、身代金が支払われない場合、この機密情報を漏洩すると脅迫することもあります。ランサムウェア攻撃は、パンデミックが始まって以来、 500%近く急増しています。支払い需要も着実に増加しており、平均支払い額は20万ドル近くに達しています。東ヨーロッパで活動する特に悪名高いランサムウェアギャングは、ウィザードスパイダー(UNC1878)として知られており、トロイの木馬 TrickBot を使用してユーザーのシステムにアクセスし、次に Ryuk ランサムウェアを使用して組織や会社の概要を強要します。ヘルスケア組織と病院は、パンデミック時に特にランサムウェアに対して脆弱であり、アメリカのヘルスケア組織に対するすべての攻撃の 4 分の 3 が Ryuk を巻き込んでいます。 CoronaVirusと呼ばれるランサムウェアの亜種は、システムの最適化を促進するためのクレームである、一見正当なWiseCleanerサイトを通じて拡散しています。しかし、ユーザーが偽のサイトからWSGSetup.exeをダウンロードすると、2つの異なる形式のマルウェアがダウンロードされます。 1つはCoronaVirusランサムウェアで、もう1つはパスワードを盗むのに役立つトロイの木馬Kpotです。コロナウイルスはPCの起動プロセスに注入され、脅威を引き起こし、身代金の支払いを要求し、Windowsの起動プロセスを遅らせます。要求された支払いは最小限に見えます—わずか50ドル相当のビットコイン—しかし、その間に、Kpotは重要なパスワードとログイン認証情報を盗みました。
コロナウイルス詐欺とダークウェブ: パンデミックでは、Torなどのプライベートで追跡が困難なブラウザを使用して、ダークウェブで販売されるCOVID-19関連のサービスや製品も増加しています。サイバー犯罪者は、ウイルスを取り巻く恐怖と不安を食い物にしています。当初、彼らは次のような多数のアイテムを提供していました。
- PPEの
- 偽のワクチン
- Drugs クレーム to "cure" the virus
- 回収されたとされる被害者の血液
- テンプレート for フィッシング scams と E メール
- 在宅勤務者のサイバーセキュリティを弱体化させたマルウェア

ダークウェブ上の犯罪者は、パンデミックによって従来の収益方法も犠牲になったため、戦術の変更を余儀なくされています。旅行する人や、航空マイルや偽造された旅行書類など、旅行に関連するサービスをリクエストする人が少なくなったため、詐欺師は収益源を維持するために他のスキームに移行しなければなりませんでした。在宅勤務やオンライン利用時間の増加に伴い、サイバー犯罪者は新たな市場やスキームに参入するために進化しています。パンデミックが猛威を振るう中、犯罪者はワクチンカードなどの偽造書類や偽のCOVID検査結果を販売するなど、さらなる手段を悪用するようになりました。2021年1月から3月にかけて、偽のCOVID-19検査結果や偽のワクチン接種カードの広告が300%も急増しました。人々はダークウェブを使用してこれらのアイテムを売買しています。政府や組織が活動に参加したり、出勤したりするためにCOVID-19検査やワクチンの陰性証明を義務付ける中、ダークウェブはコロナウイルスに関連する偽造文書の需要を拾い上げています。

COVID-19 の脅威のスコープ

パンデミックが始まって以来、コロナウイルス関連のサイバー犯罪が急増しています。犯罪者はチャンスを見出し、ITを奪おうとしています。 2020年上半期に、 CISA は次のように報告しています。

悪意のあるWebサイトに対しては、35,000件以上の削除通知が発行されました。
4月は毎日、1800万個のマルウェアとフィッシング E メールがGoogleによってブロックされました。
1月から4月にかけて、90万件以上のスパムメッセージと800件近くのマルウェア関連のインシデントが発生しました。
1月から4月の間に、COVID-19に関連する悪意のあるURLが50,000件近く検出されました。

銀行や保険会社などの金融機関は、コロナウイルスに関連する脅威の大幅な増加に気づいており、パンデミックが始まって以来、 4分の3 近くがサイバー犯罪が増加したと報告しています。金融機関の 40% 近くが、顧客がサイバー犯罪や詐欺のリスクが高いと考えています。40%以上が、パンデミックによって持ちこたえた在宅勤務モデルにより、安全性が低下し、サイバー攻撃に対して脆弱になったと報告しています。データ漏洩は、一般的にランサムウェアやフィッシングの手口が使われるもので、2021年も増加しており、10月までに 2億8,150万人がデータ侵害の影響を受けています。 2021年には、2020年全体よりも多くのデータ漏洩がすでに発生しています。パンデミックは、サイバー犯罪者にセキュリティの脆弱性を悪用する十分な機会を提供し続けるだけでなく、COVID-19に関連する人々の恐怖も利用しています。

これらの脅威に対する防御

サイバー犯罪者は、セキュリティシステムの脆弱性を探し、人間のユーザーを直接悪用します。これらの脅威に対する最善の防御策は、認識、教育、および予防戦術です。リモートで働く労働者がますます増える中、IT部門は、適切なサイバー衛生を実践し、ネットワークとシステムを安全に保つことがこれまで以上に重要になっています。ここでは、サイバー脅威から身を守るためのベストプラクティスをいくつか紹介します。

安全な慣行について労働者を教育します。標準的なセキュリティプロトコルと在宅勤務の組織ポリシーを使用し、すべてのデバイスについてすべての従業員が詳細に説明し、従います。
リモートワーカーが安全なネットワークで作業していること、および自宅の Wi-Fi ルーターが安全な方法で構成されていることを確認します。
多要素認証と、定期的に変更される安全なパスワードを使用します。
12 文字以上で、文字、数字、記号、大文字と小文字の組み合わせを含む強力なパスワードを作成します。
パスワードを再利用しないでください。すべてに対して異なるものを作成し、それらを共有しないでください。
ハードウェアとソフトウェアを最新の状態に保ち、必要に応じてパッチがインストールされていることを確認します。
ウイルス対策ソフトウェアとマルウェア対策ソフトウェアを使用します。
専有情報、従業員情報、または機密情報やデータを含むすべてのデバイスを暗号化します。
データとデバイスは安全に保管し、動作していないときはロックします。
フィッシング詐欺を見分けるよう従業員を教育し、電子メールに含まれるリンクをクリックしたり、疑わしい添付ファイルをダウンロードしたりしないように従業員を教育します。代わりに、確認のために IT セキュリティチームに送信する必要があります。
悪意のある Web サイトや URL についてユーザーを教育し、許可された Web サイトにのみ直接アクセスするように指示します。
ランサムウェア攻撃から身を守るために、データの安全なバックアップを保管してください。すべての機密情報が同じ場所に保存されていない場合、すでに他の場所にあるITにアクセスできる場合、ITはサイバー犯罪者にデータを人質に取るのが難しくなります。
承認されたプラットフォームを使用して安全なリモート会議を実施し、新しい参加者が参加するときに紹介し、会議ごとに新しい会議コードを選択して定期的に変更し、ITが極端に必要でない場合は会議を録音しないでください。
すべてのコンピュータとモバイルデバイスで定期的なヘルススキャンを実行します。
モバイルデバイスを使用する場合は、信頼できるソースからのみアプリをダウンロードしてください。
安全で機密性の高い情報は仕事用のコンピューターに閉じ込めて保管し、ITを個人のデバイスに移さないでください。
古いコンポーネントやサードパーティのコンポーネントは、エントリポイントとして使用される可能性があるため、無効にします。
プライバシー設定を定期的に更新および確認することで、ソーシャルメディアアカウントを安全に保ちます。
悪意のあるWebサイト、既知のスキーム、ハッカーの名前、サイバー攻撃情報が公開され、一般の人々を教育し、将来の被害者を防ぐために、現在のサイバーセキュリティの脅威とトレンドに遅れずについていきます。

サイバー犯罪の被害に遭ったと思われる場合は、すぐに最寄りの警察に通報してください。詐欺の被害者は、事件を連邦取引委員会 (FTC)に直接報告する必要があります。また、潜在的なデータ漏洩やサイバー犯罪のリスクから個人と組織の両方を保護するのに役立つセキュリティ製品やサービスも数多くあります。サイバー犯罪者は、パンデミック中にその範囲を拡大しています。企業は、サイバー攻撃の潜在的な影響を防止、阻止、阻止、最小化するために、セキュリティ対策を強化し、継続的に進化する必要があります。