Actorii de amenintare profita de perturbarea masiva a activitatii din cauza unei actualizari defectuoase a CrowdStrike din ziua de vineri pentru a ataca companiile cu instrumente de stergere a datelor si acces la distanta.
Pe masura ce companiile cauta asistenta pentru a remedia gazdele Windows afectate, cercetatorii si agentiile guvernamentale au observat o crestere a e-mailurilor de pescuit care incearca sa profite de situatie.
Intr-o actualizare de astazi, CrowdStrike spune ca „ajuta activ clientii” afectati de actualizarea recenta a continutului care a facut ca milioane de gazde Windows sa se blocheze la nivel mondial.
Compania le recomanda clientilor sa verifice daca comunica cu reprezentanti legitimi prin canale oficiale, deoarece „adversarii si actorii rai vor incerca sa exploateze evenimente de genul acesta.”
„Va incurajez pe toti sa ramaneti vigilenti si sa va asigurati ca interactionati cu reprezentanti oficiali CrowdStrike. Blogul nostru si suportul tehnic vor ramane canalele oficiale pentru cele mai recente informatii” – George Kurtz, CEO CrowdStrike
Centrul National de Securitate Cibernetica din Marea Britanie (NCSC) a avertizat de asemenea ca a observat o crestere a mesajelor de pescuit care vizeaza exploatarea opririi.
Platforma de analiza automata a malware-ului AnyRun a observat „o crestere a incercarilor de a se impersonaliza ca fiind CrowdStrike care poate duce la pescuit” [1, 2, 3].
Sambata, AnyRun a raportat ca actorii rai au inceput sa exploateze incidentul CrowdStrike pentru a distribui HijackLoader, care a lasat instrumentul de acces la distanta Remcos pe sistemul infectat.
Pentru a pacali victimele sa instaleze malware-ul, actorul de amenintare a disimulat incarcatura HijackLoader intr-un arhiv WinRAR promitand sa livreze un hotfix de la CrowdStrike.
Intr-o alta avertizare, AnyRun a anuntat ca atacatorii distribuiau de asemenea un stergator de date sub pretextul de a livra o actualizare de la CrowdStrike.
„Decimeaza sistemul prin suprascrierea fisierelor cu zero octeti si apoi o raporteaza pe #Telegram” – spune AnyRun.
Intr-un alt exemplu, platforma de analiza a malware-ului noteaza ca cibercriminalii au inceput sa raspandeasca alte tipuri de malware prezentandu-se ca actualizari sau reparatii de bug-uri de la CrowdStrike.
Un executabil rau intentionat a fost livrat printr-un link dintr-un fisier PDF continand parti din actualizarea oficiala de la CrowdStrike. URL-ul ducea catre un arhiv numit update.zip care continea executabilul rau intentionat CrowdStrike.exe.
Defectul din actualizarea software a CrowdStrike a avut un impact masiv asupra sistemelor Windows la numeroase organizatii, facandu-l prea bun oportunitate pentru cibercriminali pentru a o rata.
Potrivit Microsoft, actualizarea defectuoasa „a afectat 8,5 milioane de dispozitive Windows, adica mai putin de un procent din toate masinile Windows.”
Distrugerile s-au produs in 78 de minute, intre 04:09 UTC si 05:27 UTC.
In ciuda procentului mic de sisteme afectate si a efortului CrowdStrike de a corecta problema rapid, impactul a fost imens.
Blocarile computerelor au dus la anularea a mii de zboruri, la perturbarea activitatii companiilor financiare, la caderea spitalelor, organizatiilor media, cailor ferate si chiar la impactarea serviciilor de urgenta.
Intr-o postare post-mortem sambata, CrowdStrike explica ca cauza opririi a fost o actualizare a fisierului canal (configurare senzor) catre gazdele Windows (versiunea 7.11 si mai mare) care a declansat o eroare logica ducand la o blocare.
In timp ce fisierul canal responsabil pentru blocari a fost identificat si nu mai provoaca probleme, companiile care inca lupta sa-si restaureze sistemele la operatiuni normale pot urma instructiunile CrowdStrike pentru a recupera gazde individuale, chei BitLocker si medii bazate pe cloud.
Leave a Reply