Ειδοποίηση απάτης! Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται τη διακοπή λειτουργίας του CrowdStrike με ενημερώσεις επιδιόρθωσης που περιέχουν κακόβουλο λογισμικό
Στον απόηχο της διακοπής λειτουργίας του CrowdStrike την περασμένη εβδομάδα , οι εγκληματίες του κυβερνοχώρου άδραξαν την ευκαιρία να εξαπολύσουν ένα κύμα επιθέσεων κοινωνικής μηχανικής με στόχο τους πελάτες του προμηθευτή ασφάλειας . Αυτό το συμβάν, το οποίο διέκοψε τα αεροπορικά ταξίδια, έκλεισε καταστήματα και επηρέασε ιατρικές εγκαταστάσεις, ακολουθήθηκε από μια έξαρση των δραστηριοτήτων ηλεκτρονικού ψαρέματος που αναφέρθηκαν από εθνικές υπηρεσίες κυβερνοασφάλειας στις ΗΠΑ, το Ηνωμένο Βασίλειο, τον Καναδά και την Αυστραλία.
Σύμφωνα με τον Luigi Lenguito, Διευθύνοντα Σύμβουλο της BforeAI, αυτές οι επιθέσεις μετά το CrowdStrike είναι πολύ πιο παραγωγικές και στοχευμένες σε σύγκριση με τις τυπικές επιθέσεις που ακολουθούν σημαντικά ειδησεογραφικά γεγονότα. «Στην επίθεση την περασμένη εβδομάδα στον Τραμπ, είδαμε μια αύξηση την πρώτη ημέρα 200 σχετικών απειλών στον κυβερνοχώρο, οι οποίες στη συνέχεια ισοπεδώθηκαν σε 40-50 την ημέρα», σημείωσε ο Lenguito. "Εδώ, βλέπετε μια αιχμή που είναι τρεις φορές μεγαλύτερη. Βλέπουμε περίπου 150 έως 300 επιθέσεις την ημέρα, που δεν είναι ο κανονικός όγκος για επιθέσεις που σχετίζονται με ειδήσεις."
Προφίλ μιας απάτης με θέμα το CrowdStrike
Η στρατηγική πίσω από αυτές τις απάτες είναι ξεκάθαρη: καθώς πολλοί χρήστες μεγάλων εταιρειών δεν μπορούν να συνδεθούν με τις υπηρεσίες του CrowdStrike, οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται αυτήν την ευπάθεια. Η στοχευμένη φύση αυτών των επιθέσεων τις διαφοροποιεί από άλλες θεματικές απάτες, όπως αυτές που σχετίζονται με πολιτικά γεγονότα. Τα θύματα είναι συχνά πιο τεχνικά έμπειρα και ενημερωμένα σχετικά με την ασφάλεια στον κυβερνοχώρο.
Οι επιτιθέμενοι υποδύονταν το CrowdStrike, τη σχετική τεχνική υποστήριξη ή ακόμη και ανταγωνιστικές εταιρείες που προσφέρουν τις δικές τους «διορθώσεις». Έχουν εμφανιστεί τομείς ηλεκτρονικού ψαρέματος (phishing) και τυπογραφικής κατασκήνωσης, όπως οι crowdstrikefix[.]com, crowdstrikeupdate[.]com και www.microsoftcrowdstrike[.]com, με πάνω από 2.000 τέτοιους τομείς να έχουν εντοπιστεί.
Αυτοί οι τομείς χρησιμοποιούνται για τη διανομή κακόβουλου λογισμικού, συμπεριλαμβανομένου ενός αρχείου ZIP που παρουσιάζεται ως επείγουσα επιδιόρθωση που περιέχει HijackLoader (επίσης γνωστό ως IDAT Loader), το οποίο στη συνέχεια φορτώνει το RemCos RAT. Αυτό το αρχείο αναφέρθηκε για πρώτη φορά από το Μεξικό και περιλάμβανε ονόματα αρχείων στην ισπανική γλώσσα, υποδηλώνοντας εστίαση στους πελάτες του CrowdStrike στη Λατινική Αμερική.
Σε μια άλλη περίπτωση, οι εισβολείς έστειλαν ένα email ηλεκτρονικού ψαρέματος με ένα κακώς σχεδιασμένο συνημμένο PDF. Το PDF περιείχε έναν σύνδεσμο για τη λήψη ενός αρχείου ZIP με ένα εκτελέσιμο αρχείο. Όταν εκκινήθηκε, το εκτελέσιμο ζήτησε άδεια για την εγκατάσταση μιας ενημέρωσης, η οποία αποδείχθηκε ότι ήταν υαλοκαθαριστήρας. Η ομάδα χακτιβιστών «Handala» που υποστηρίζει τη Χαμάς ανέλαβε την ευθύνη, δηλώνοντας ότι «δεκάδες» ισραηλινές οργανώσεις είχαν χάσει αρκετά terabyte δεδομένων ως αποτέλεσμα.
Προστασία από αυτές τις απειλές
Οι οργανισμοί μπορούν να προστατευτούν εφαρμόζοντας λίστες αποκλεισμού, χρησιμοποιώντας προστατευτικά εργαλεία DNS και διασφαλίζοντας ότι αναζητούν υποστήριξη μόνο από τον επίσημο ιστότοπο και τα κανάλια εξυπηρέτησης πελατών του CrowdStrike . Ο Lenguito προτείνει ότι η αύξηση των επιθέσεων είναι ακόμα στα αρχικά της στάδια, αλλά είναι πιθανό να μειωθεί τις επόμενες εβδομάδες. «Γενικά, αυτές οι εκστρατείες διαρκούν δύο έως τρεις εβδομάδες», παρατήρησε.
Παραμένοντας σε εγρήγορση και βασιζόμενοι σε επαληθευμένες πηγές για τεχνική υποστήριξη, οι οργανισμοί μπορούν να μετριάσουν τους κινδύνους που ενέχουν αυτές οι εξελιγμένες και στοχευμένες επιθέσεις phishing.