Actorii de amenințare exploatează perturbarea masivă a afacerilor cauzată de actualizarea defectuoasă a CrowdStrike vineri pentru a viza companiile cu instrumente de ștergere de date și de acces la distanță.
Pe măsură ce companiile caută asistență pentru a remedia gazdele afectate de Windows, cercetătorii și agențiile guvernamentale au observat o creștere a e-mailurilor de pescuit de tip phishing care încearcă să profite de situație.
Într-o actualizare de astăzi, CrowdStrike spune că „asistă activ clienții” afectați de actualizarea recentă a conținutului care a provocat prăbușirea a milioane de gazde Windows la nivel mondial.
Compania își sfătuiește clienții să verifice că comunică cu reprezentanți legitimi prin canale oficiale, deoarece „adversarii și actorii răi vor încerca să profite de evenimente de genul acesta.”
„Încurajez pe toată lumea să rămână vigilentă și să se asigure că interacționează cu reprezentanții oficiali ai CrowdStrike. Blogul nostru și suportul tehnic vor continua să fie canalele oficiale pentru cele mai recente actualizări” – George Kurtz, CEO CrowdStrike
Centrul Național de Securitate Cibernetică (NCSC) din Marea Britanie a avertizat și el că a observat o creștere a mesajelor de phishing care vizează să profite de întrerupere.
Platforma automată de analiză a malware-ului AnyRun a observat „o creștere a încercărilor de a se da drept CrowdStrike, care ar putea duce potențial la phishing”.
Sâmbătă, cercetătorul în securitate cibernetică g0njxa a raportat pentru prima dată o campanie de malware care vizează clienții băncii BBVA și care oferea o actualizare falsă Hotfix CrowdStrike care instalează instrumentul de acces la distanță Remcos RAT.
Hotfix-ul fals a fost promovat printr-un site de phishing, portalintranetgrupobbva[.]com, care pretindea că este un portal de intranet BBVA.
Închis în arhivă se află instrucțiuni care le spun angajaților și partenerilor să instaleze actualizarea pentru a evita erorile la conectarea la rețeaua internă a companiei.
„Actualizare obligatorie pentru a evita erorile de conectare și sincronizare la rețeaua internă a companiei,” se arată în fișierul ‘instrucciones.txt’ în spaniolă.
AnyRun, care a tweetat și despre aceeași campanie, a spus că actualizarea falsă oferă HijackLoader, care apoi descarcă instrumentul de acces la distanță Remcos pe sistemul infectat.
Într-o altă avertizare, AnyRun a anunțat că atacatorii distribuie un instrument de ștergere a datelor sub pretextul de a livra o actualizare de la CrowdStrike.
„Distruge sistemul prin suprascrierea fișierelor cu zero octeți și apoi raportează peste #Telegram,” spune AnyRun.
Această campanie a fost revendicată de grupul de hacktiviști pro-irakieni Handala, care a declarat pe Twitter că s-au dat drept CrowdStrike în e-mailuri către companiile israeliene pentru a distribui instrumentul de ștergere a datelor.
Actorii de amenințare s-au dat drept CrowdStrike, trimitând e-mailuri de pe domeniul ‘crowdstrike.com.vc,’ spunând clienților că a fost creat un instrument pentru a readuce sistemele Windows online.
E-mailurile includ un PDF văzut de BleepingComputer care conține instrucțiuni suplimentare despre rularea actualizării false, precum și un link pentru a descărca o arhivă ZIP malitioasă de pe un serviciu de găzduire a fișierelor. Această arhivă ZIP conține un executabil numit ‘Crowdstrike.exe.’
Odată ce actualizarea falsă CrowdStrike este executată, instrumentul de ștergere a datelor este extras într-un folder sub %Temp% și lansat pentru a distruge datele stocate pe dispozitiv.
Defectul din actualizarea software a CrowdStrike a avut un impact masiv asupra sistemelor Windows la numeroase organizații, făcându-l prea tentant pentru cibercriminali să-l rateze.
Potrivit Microsoft, actualizarea defectuoasă „a afectat 8,5 milioane de dispozitive Windows, adică mai puțin de un procent din toate mașinile Windows.”
Distrugerea s-a produs în 78 de minute, între 04:09 UTC și 05:27 UTC.
În ciuda procentului redus de sisteme afectate și a eforturilor CrowdStrike de a corecta problema rapid, impactul a fost imens.
Prăbușirile computerelor au dus la anularea a mii de zboruri, au perturbat activitatea companiilor financiare, au scăzut spitalele, organizațiile media, căile ferate și au afectat chiar serviciile de urgență.
Într-o post-mortem publicată sâmbătă, CrowdStrike explică că cauza întreruperii a fost o actualizare a fișierului de canal (configurație a senzorului) către gazdele Windows (versiunea 7.11 și mai recente) care a declanșat o eroare logică ce a dus la o prăbușire.
În timp ce fișierul de canal responsabil de prăbușiri a fost identificat și nu mai cauzează probleme, companiile care încă se luptă să-și readucă sistemele la operațiuni normale pot urma instrucțiunile CrowdStrike pentru a-și recupera gazdele individuale, cheile BitLocker și mediile bazate pe cloud.
Leave a Reply