Измама с CrowdStrike

CrowdStrike, известна фирма за киберсигурност, по невнимание предизвика широко разпространени прекъсвания на системата с погрешна актуализация на Windows на 19 юли 2024 г. Тази техническа авария не само наруши операциите, но също така отвори прозорец на възможност за киберпрестъпниците да използват уязвими системи за заплашителни дейности.

Разпространение на зловреден софтуер чрез фалшиви актуализации

Един от основните методи, използвани от киберпрестъпниците, беше разпространението на зловреден софтуер, маскиран като легитимни актуализации на CrowdStrike. Тези измамни актуализации включват:

1. The Remcos RAT, насочен към клиенти на BBVA Bank : Целева кампания, насочена към клиенти на BBVA банка, използва фалшива актуализация на CrowdStrike Hotfix. Прикрита като основна софтуерна поддръжка, тази актуализация вместо това инсталира Remcos Remote Access Trojan (RAT) . Този злонамерен софтуер позволява неоторизиран отдалечен достъп до заразени компютри, улеснявайки шпионажа, кражбата на данни и допълнително компрометиране на чувствителни системи.
2. Data Wiper чрез фишинг имейли : В друг случай киберпрестъпниците разпространиха имейли, представящи се за актуализации на CrowdStrike. Тези имейли инструктираха получателите да изтеглят ZIP файл, за който се твърди, че съдържа необходимата корекция за сигурност. Въпреки това, файлът всъщност съдържа злонамерен софтуер за почистване на данни. Чистачите на данни са проектирани да изтриват необратимо или повреждат данни в засегнатите системи, причинявайки сериозни последици за работата и загубата на данни за жертвите.

Схеми, използващи инцидента

Възползвайки се от хаоса, причинен от грешката при актуализиране на CrowdStrike, измамниците стартираха различни измамни схеми:

• Фалшиви жетони за криптовалута: Измамниците рекламират фиктивни жетони като $CROWDSTRIKE или $CROWDSTROKE, примамвайки нищо неподозиращи лица да разкрият лична информация или да прехвърлят криптовалута под претекст.
• Оферти за компенсация: Като се представят за законни лица, измамниците предлагат компенсации на засегнатите потребители. Тези оферти имаха за цел да подмамят жертвите да разкрият чувствителна информация, да платят за несъществуващи услуги или да предоставят отдалечен достъп до техните компютри. Такива действия могат да доведат до допълнителни инфекции със зловреден софтуер, финансови загуби и нарушения на данните.

Канали и техники за дистрибуция

Измамниците са използвали различни канали и измамни техники, за да разпространяват своите схеми:

• Фишинг имейли : Фалшивите имейли за актуализация на CrowdStrike бяха широко разпространени, използвайки доверието в легитимни софтуерни актуализации, за да подмамят получателите да изтеглят зловреден софтуер.

• Фалшиви уебсайтове и социално инженерство : Измамниците създават фалшиви уебсайтове, наподобяващи легитимни услуги или интранет портали (напр. BBVA Intranet), подмамвайки потребителите да инсталират зловреден софтуер.

• Компрометирани акаунти в социалните медии : Измамни актуализации също бяха разпространени чрез компрометирани акаунти на платформи като X (бивш Twitter), като се използва широка аудитория за разпространение на злонамерени връзки и съдържание.

Инцидентът, включващ грешната актуализация на CrowdStrike, подчерта критичната необходимост от стабилни мерки за киберсигурност и бдителност на потребителите. Киберпрестъпниците бързо се възползваха от прекъсването, причинено от грешката при актуализиране, внедрявайки сложен зловреден софтуер и организирайки измамни схеми. Потребителите и организациите трябва да останат бдителни срещу опити за фишинг, подозрителни имейли и измамни онлайн тактики, за да намалят риска да станат жертва на такива опасни дейности. Усилията на легитимни субекти, като например пускането на оригинална корекция от Microsoft, са ключови за смекчаване на последствията от подобни инциденти и възстановяване на доверието в мерките за цифрова сигурност.