Upozornění na podvod! Kyberzločinci využívají výpadek CrowdStrike s opravnými aktualizacemi obsahujícími malware
Po výpadku CrowdStrike z minulého týdne se kyberzločinci chopili příležitosti a zahájili vlnu útoků sociálního inženýrství zaměřených na zákazníky dodavatele zabezpečení . Po této události, která narušila leteckou dopravu, uzavřela obchody a ovlivnila zdravotnická zařízení, následoval prudký nárůst phishingových aktivit hlášených národními agenturami pro kybernetickou bezpečnost v USA, Velké Británii, Kanadě a Austrálii.
Podle Luigiho Lenguita, generálního ředitele BforeAI, jsou tyto útoky po CrowdStrike výrazně plodnější a cílenější ve srovnání s typickými útoky, které následují po hlavních zpravodajských událostech. "Při útoku na Trumpa minulý týden jsme první den viděli prudký nárůst 200 souvisejících kybernetických hrozeb, který se pak snížil na 40-50 denně," poznamenal Lenguito. "Tady se díváte na špičku, která je třikrát větší. Vidíme asi 150 až 300 útoků denně, což není běžný objem útoků souvisejících se zprávami."
Profil podvodu s tématem CrowdStrike
Strategie těchto podvodů je jasná: vzhledem k tomu, že uživatelé mnoha velkých korporací se nemohou připojit ke službám CrowdStrike, kyberzločinci tuto zranitelnost zneužívají. Cílená povaha těchto útoků je odlišuje od jiných tematických podvodů, jako jsou podvody související s politickými událostmi. Oběti jsou často technicky zdatnější a informovanější o kybernetické bezpečnosti.
Útočníci se vydávali za CrowdStrike, související technickou podporu nebo dokonce konkurenční společnosti nabízející své vlastní „opravy“. Objevily se phishingové a typosquattingové domény jako crowdstrikefix[.]com, crowdstrikeupdate[.]com a www.microsoftcrowdstrike[.]com, přičemž bylo identifikováno více než 2 000 takových domén.
Tyto domény se používají k distribuci malwaru, včetně souboru ZIP vydávajícího se za opravu hotfix, která obsahuje HijackLoader (také známý jako IDAT Loader), který následně načte RemCos RAT. Tento soubor byl poprvé hlášen z Mexika a obsahoval názvy souborů ve španělštině, což naznačuje zaměření na zákazníky CrowdStrike v Latinské Americe.
V jiném případě útočníci poslali phishingový e-mail se špatně navrženou přílohou PDF. PDF obsahovalo odkaz ke stažení souboru ZIP se spustitelným souborem. Po spuštění požádal spustitelný soubor o povolení k instalaci aktualizace, což se ukázalo jako stěrač. K odpovědnosti se přihlásila pro-Hamasská hacktivistická skupina „Handala“ a uvedla, že „desítky“ izraelských organizací v důsledku toho ztratily několik terabajtů dat.
Ochrana před těmito hrozbami
Organizace se mohou chránit implementací blokovaných seznamů, používáním ochranných nástrojů DNS a zajištěním, že budou hledat podporu pouze na oficiálních webových stránkách CrowdStrike a na kanálech zákaznických služeb. Lenguito naznačuje, že nárůst útoků je stále v rané fázi, ale pravděpodobně se v nadcházejících týdnech zmenší. "Obecně tyto kampaně trvají dva až tři týdny," poznamenal.
Zůstane-li ostražitost a spoléhání se na ověřené zdroje technické podpory, mohou organizace zmírnit rizika, která tyto sofistikované a cílené phishingové útoky představují.