В интернете распространяется целая волна кибератак, распространения вредоносного ПО и появления мошеннических сайтов. Многие злоумышленники совершают свои атаки, используя панику вокруг коронавируса.
Исследователи компании DomainTools заметили, что количество доменных имён, использующих слова coronavirus или COVID-19, увеличилось. Регистрации таких доменов, по информации экспертов, достигли максимума за последние несколько недель, и многие из этих адресов являются мошенническими. Среди них, например, исследователи выделяют сайт coronavirusapp, который, как утверждается, помогает отслеживать распространение коронавируса в режиме реального времени через приложение. Само приложение на самом деле представляет собой вымогатель, который эксперты назвали CovidLock.
CovidLock перекрывает жертве доступ к телефону, изменяя пароль, используемый для разблокировки устройства. Вымогатель запрашивает $100 в биткоинах за разблокировку, в противном случае контакты, фотографии, видео и память телефона пользователя будут стёрты. Приложение также грозит утечкой паролей от аккаунтов в социальных сетях.
Как отмечают в DomainTools, защита от этого типа атак существует, однако работает она только если на телефоне установлен пароль. Исследовательская группа DomainTools провела реверс-инжиниринг ключей приложения и планирует опубликовать ключ публично. Команда также будет следить за кошельком BTC, который использует злоумышленник, и его транзакциями. Как пишет издание ArsTechnica, десятки вредоносных веб-сайтов с доменами, которые ссылаются на COVID или COVID-19, обнаружили также исследователи из компании Sophos.
О другой атаке сообщили специалисты Abnormal Security. Фишинговая атака, которую они назвали Coronavirus Credential Theft, использует электронную почту и направлена, в основном, на студентов и сотрудников университетов. Злоумышленник создаёт электронное письмо, которое выглядит так, как будто его отправляет ректорат или попечительский совет университета. В письме содержится ссылка, которая якобы направит получателя письма на страницу с сообщением о вспышке коронавируса. Однако URL-адрес, который указан в электронном письме, не соответствует фактическому адресу, на который направляются получатели письма. Этот URL приводит к странице, которая выглядит как документ в Office 365. Предположительно, злоумышленник надеется, что жертва будет слишком взволнована сообщением, чтобы обратить внимание на несоответствие адреса в письме и фактического адреса, и введёт на подставном сайте свои учетные данные. Эта атака, по всей видимости, является попыткой кражи учетных данных пользователя.
Как указывают эксперты Abnormal Security, атака эффективна на фоне массовых закрытий кампусов и отмены занятий. В последние дни студенты и сотрудники университетов внимательно следят за любыми новостями, и электронное письмо, которое предположительно поступает от руководства университета, идеально подходит для атаки.
«Лаборатория Касперского» обнаружила ещё один вид фишинговой атаки, авторы которой прикрываются именем Всемирной организации здравоохранения. По словам исследователей, злоумышленники рассылают электронные письма от лица ВОЗ, в которых обещают предоставить информацию о мерах безопасности, позволяющих избежать заражения. Получатели, которые проходят по ссылке в письме, попадают на сайт, который предлагает им поделиться личной информацией. Мошенничество выглядит более реалистично, чем предыдущие фишинговые кампании, использующие панику вокруг коронавируса, указывают в «Лаборатории Касперского».
Кроме того, коронавирус стал причиной DDoS-атаки на сайт Министерства здравоохранения и социальных служб США. Атака вывела сайт из строя. Как указывает портал Bleeping Computer, после вспышки COVID-19 количество людей, которые ищут информацию о коронавирусе, резко возросло. В воскресенье вечером злоумышленники попытались сорвать распространение информации о вирусе, выполнив DDoS-атаку на веб-сайт HHS.gov. Кроме того, в интернете начали распространяться слухи о «национальном карантине» на территории США. Позже Совет национальной безопасности США опубликовал в твиттере опровержение этих слухов. Как считают власти США, кибератаку осуществили иностранные хакеры, но подтверждения этому пока нет.
«Связанные с коронавирусом кибератаки становятся обычным явлением, — пишет Bleeping Computer. — На прошлой неделе клиника в Брно в Чешской Республике была закрыта из-за кибератаки, которая началась рано утром. В этой больнице находится лаборатория, которая использовалась для тестирования на коронавирус и проводила 20 анализов в день до атаки».