General Trends

Principais recursos de código aberto para ficar atento aos ataques cibernéticos com o tema COVID

April 22, 2020

min

Tabela de conteúdo

Exemplo H2

À medida que a pandemia do coronavírus se espalha rapidamente pelo mundo, uma população em pânico, já confinada em suas casas, enfrenta a ameaça emergente de ataques cibernéticos com o tema COVID. A tendência dos crimes cibernéticos recentes indica um aumento no número de domínios maliciosos relacionados ao COVID, ataques de malware e campanhas de phishing. Como resultado, as organizações têm a perspectiva assustadora de proteger seus ativos e os de seus clientes contra adversários que lucram com a pandemia. Sem uma estratégia eficaz ou a inteligência correta, será impossível evitar esses ataques.

Neste artigo, consolidamos recursos populares de inteligência sobre ameaças de código aberto que podem ajudá-lo a combater ataques cibernéticos com o tema COVID. Esses recursos de código aberto fornecem as informações e observações mais recentes sobre ameaças cibernéticas para aliviar o impacto que esses ataques poderiam ter na comunidade global.

Coalizão de ameaças cibernéticas da COVID-19

Coalizão de ameaças cibernéticas (CTC) é o resultado dos esforços combinados de cerca de 3.000 profissionais de segurança que coletam, analisam e compartilham inteligência relacionada às novas ameaças com o tema COVID. Atualmente, a maior contribuição dos conjuntos de dados com o tema COVID é produzida pelo CTC. Além disso, eles priorizam e defendem os serviços essenciais e o setor médico de primeira linha contra ameaças. O setor de telecomunicações também faz parte dos serviços essenciais, à medida que mais pessoas mudam para o trabalho remoto.

Como o CTC alerta as organizações?

Normalmente, eles examinam milhões de pontos de dados fornecidos por organizações ou indivíduos e executam os indicadores por meio de vários produtos de segurança.
Se pelo menos 10 desses produtos de segurança identificarem o ponto de dados como uma ameaça, os voluntários do CTC verificarão manualmente essas descobertas e adicionarão feeds maliciosos aos dados. Lista de bloqueio. Se apenas 5 a 9 fornecedores de produtos de segurança identificarem o ponto de dados como malicioso, eles serão verificados manualmente como feeds maliciosos antes de serem adicionados à Lista de Bloqueio.
Essa lista de bloqueio ajuda organizações e indivíduos, em todo o mundo, a bloquear tráfego malicioso decorrente de atividades fraudulentas.
Além disso, eles têm uma versão beta Feed MISP que detalha os vários indicadores de ameaças (acessíveis para aqueles que configuraram o MISP).

Como você pode contribuir?

O CTC mantém um espaço de trabalho no Slack, cujo convite está disponível em seu site oficial. Este espaço de trabalho é para pesquisadores que possam ter informações sobre ataques cibernéticos com o tema COVID. Além disso, eles também têm um espaço livre para anunciar atualizações e novos desenvolvimentos: #ctc -anúncios oficiais
O Alienvault Open Threat Exchange (OTX) também reúne feeds de dados de pesquisadores. O CTC considera o Alienvault OTX como sua principal fonte de feeds de dados brutos. Eles estão incentivando qualquer pessoa com informações sobre ameaças de alta qualidade a se juntar a esta plataforma.

Aqui está a lista de bloqueio do CTC para domínios e endereços IP maliciosos verificados:

https://blacklist.cyberthreatcoalition.org/vetted/

COVID-themed cyber attacks: Alienvault OTX group — Grupo Alienvault OTX

Liga CTI COVID-19

(https://cti-league.com/)

Este é um coletivo de especialistas e respondentes a incidentes, de mais de 40 países, que reúne informações sobre ameaças relacionadas à COVID. Funcionários seniores da Microsoft e da Amazon também fazem parte dessa equipe. A CTI League é voltada para neutralizar as ameaças cibernéticas contra o setor médico de primeira linha e a infraestrutura crítica.

Como o setor médico está se beneficiando da Liga CTI?

A CTI aceita solicitações de IR (Incident Response) de organizações para detectar incidentes de segurança e mantê-los sob controle. Para conseguir isso, a CTI League se conecta com pesquisadores e analistas de 22 fusos horários diferentes. Os voluntários ajudam a comunidade a encontrar as pessoas mais adequadas que possam garantir instituições e recursos médicos em seu local.
Eles ajudam a remover sites, páginas da web ou arquivos da Internet e a escalar ataques cibernéticos, atividades maliciosas ou vulnerabilidades críticas para agências policiais e CERTs nacionais.
Eles fornecem bancos de dados confiáveis, com indicadores de comprometimento de alta prioridade, que ajudam o setor médico a investigar e bloquear atividades maliciosas.

Aliança contra ameaças cibernéticas

(https://www.cyberthreatalliance.org/)

Essa é uma organização associativa sem fins lucrativos que se concentra em iscas de phishing e ataques de malware. Eles ajudam a frustrar as tentativas de prejudicar o setor médico, na época dessa crise sem precedentes.

O que eles estão oferecendo?

~ 135.000 pacotes STIX de inteligência. Cada ponto de dados terá uma média de dois contextos acompanhantes.
Pacotes que incluem conjuntos de dados/observáveis e táticas, técnicas e procedimentos (TTPs) em diferentes estágios do ataque cibernético.
Os observáveis incluem arquivos, nomes de domínio, endereços e identificadores uniformes de recursos (URIs).
Mais de 50 TTPs, a partir de bases de conhecimento úteis de Enumeração e classificação de padrões de ataque comuns do MITRE (CAPEC) e Táticas adversárias, técnicas e conhecimento comum (ATT&CKTM), ajudam você a entender os padrões de ataque e os mecanismos de ataque dos adversários.
Filiação ao CTA que concede acesso a inteligência de ameaças validada e selecionada.

Laboratórios de Phish

(https://www.phishlabs.com/covid-19-threat-intelligence)

O phishing é a ameaça cibernética mais comum. E mesmo enquanto o mundo tenta entender a epidemia de coronavírus, os golpistas estão ocupados lucrando com o medo e a ansiedade. A PhishLabs, uma equipe de especialistas em segurança cibernética, combina seus esforços para fornecer recursos gratuitos de inteligência de ameaças relacionada ao coronavírus, com foco principal em ataques de phishing.

O que eles têm a oferecer?

Seu banco de dados é atualizado com as últimas novidades sobre e-mails de phishing com tema COVID, URLs maliciosos e domínios. Eles apresentam e compartilham os dados em um arquivo zip contendo iscas de phishing (como arquivos de imagem) e URLs de phishing (no formato.xlsx).

PhishLabs image files — Arquivos de imagem PhishLabs

Checkphish: Rastreador de fraudes por coronavírus

(https://checkphish.ai/coronavirus-scams-tracker)

O Checkphish mantém um painel global que rastreia os mais recentes golpes de phishing com o tema Coronavírus. Os resultados são classificados em fraudes e sites suspeitos. Além disso, para cada site, ele fornece feeds fraudulentos no formato.tsv.

Amostra: https://checkphish.ai/data/covid_feed.tsv

Checkphish scam tracker feed — Feed do rastreador de golpes Checkphish

O painel também permite que você execute escaneamentos de URL gratuitos para identificar sites maliciosos. Para cada domínio consultado e os domínios que já estão na lista, o painel também incorpora capturas de tela do site, DNS passivo (de hosts e domínios hospedados em determinado IP), detalhes de domínios semelhantes e suas informações de WHOIS.

COVID-themed cyber attacks: Checkphish dashboard — Painel do Checkphish

MISP

(https://covid-19.iglocska.eu)

A Malware Information Sharing Platform (MISP) é uma plataforma de inteligência de ameaças de código aberto. Eles fornecem assinaturas de IDS para intrusões cibernéticas da COVID-19 em vários formatos, como: STIX, STIX2, Text, csv, etc. Eles também permitem que os usuários automatizem o processo de coleta de informações. Pesquisadores e partes interessadas são obrigados apenas a envie uma mensagem direta para a equipe para acessar https://covid-19.iglocska.eu/.

Post that directs users to a frequently updated dataset — Publicação que direciona os usuários para um conjunto de dados atualizado com frequência

RiskIQ

O RisQIQ PassiveTotal oferece acesso a conjuntos de dados RisQIQ, como DNS passivo, dados extensivos de DNS, detalhes de registro WHOIS e detalhes do certificado SSL. E, como resposta ao crescente número de ataques cibernéticos com o tema COVID, eles também compartilham listas de nomes de domínio relacionados ao coronavírus que contêm 'covid', 'coronav', 'vacina', 'pandemia' ou 'vírus'. Eles podem ou não ser maliciosos. Para facilitar a investigação desses domínios, os analistas interessados têm acesso de 30 dias para usar o PassiveTotal, a plataforma de pesquisa de ameaças da RiskIQ.

Links para as listas de nomes de domínio com o tema COVID:

https://covid-public-domains.s3-us-west-1.amazonaws.com/list.txt (lista consolidada)

https://covid-public-domains.s3-us-west-1.amazonaws.com/covid-YYYYMMDD

https://covid-public-domains.s3-us-west-1.amazonaws.com/covid-20200420

Covid-19 Medical Supply Scams from RisqIQ dashboard. — Fraudes de suprimentos médicos da Covid-19 no painel RisQiQ.

Painel RisQiQ: https://community.riskiq.com/

Repositório da liga CTI do Github

(https://github.com/COVID-19-CTI-LEAGUE/PUBLIC_RELEASE)

Um repositório do GitHub, apelidado de Covid-19-CTI-League, também compartilha IOCs aprovados e aprovados de ataques cibernéticos com o tema COVID. Embora o nome do repositório se pareça com a comunidade CTI League (discutida anteriormente), eles não estão relacionados.

COVID-themed cyber attacks: CTI League Slack discussion — Discussão sobre o CTI League Slack

Pesquisadores e feeds independentes

Embora tenhamos listado os grandes nomes da segurança cibernética, é importante saber que existem pesquisadores individuais e blogueiros de segurança cibernética comprometidos em resolver e neutralizar os ataques que surgem durante a epidemia. Eles compartilham suas análises e descobertas em plataformas de mídia social como o Twitter. Aqui estão algumas delas:

@dustyfresh

O usuário do Twitter DustyFresh configurou um alimentação, atualizado a cada 30 segundos, que verifica novos nomes de host relacionados ao COVID descobertos nos registros de transparência do certificado. Ele usa palavras-chave coronavírus, covid19, covid-19, covid, pandemia, etc.

Embora a maioria dos domínios desta lista sejam considerados maliciosos, cabe aos pesquisadores descobrir isso.

@sshell_

Outro pesquisador que usa o nome de usuário do Twitter @sshell_ criou uma versão em tempo real painel de controle de sites maliciosos. Esse painel aproveita o feed do RiskIQ (mencionado anteriormente) e lista domínios maliciosos com o tema COVID em tempo real.

@LukasStefanko

Pesquisador independente e analista de malware móvel da ESET, Lukas Stefanko, faixas Ataques de malware relacionados ao COVID que visam usuários do Android diariamente.

ThreatFeeds.io

(https://threatfeeds.io/)

Essa é outra plataforma de inteligência de ameaças de código aberto que reúne indicadores de comprometimento de várias fontes. Ele permite que os usuários baixem dados gratuitamente.

Malware Bazaar

(https://abuse.ch/blog/introducing-malwarebazaar/)

O Abuse.ch fornece amostras gratuitas de malware que podem ser baixadas facilmente. O MalwareBazaar espera ajudar os pesquisadores a entender amostras de malware e usar a inteligência para análises adicionais.

Avisos

As contas oficiais de agências governamentais no Twitter também fornecem atualizações regulares sobre os golpes e táticas de fraude mais recentes:

@CyberDost

O Ministério do Interior da Índia oferece dicas e aconselha o público sobre práticas seguras na Internet, por meio do Twitter @CyberDost e do site oficial Portal nacional de denúncias de crimes cibernéticos. Essas plataformas também podem ser usadas para denunciar qualquer atividade cibernética maliciosa que você encontrar.

@Europol

Este é o nome de usuário do Twitter da Agência de Cooperação Policial da União Europeia. A Europol compartilha tendências recentes em ataques cibernéticos e fraudes com o tema da pandemia do Coronavirus.