Computer Security Kelmuse hoiatus! Küberkurjategijad kasutavad ära...

Kelmuse hoiatus! Küberkurjategijad kasutavad ära CrowdStrike'i katkestust pahavara sisaldavate värskenduste parandamisega

Eelmise nädala CrowdStrike'i katkestuse järel on küberkurjategijad kinni haaranud võimalusest käivitada sotsiaalse manipuleerimise rünnakute laine, mis on suunatud turvamüüja klientidele . Sellele sündmusele, mis häiris lennureise, sulges kauplusi ja mõjutas meditsiiniasutusi, on USA, Ühendkuningriigi, Kanada ja Austraalia riiklikud küberjulgeolekuagentuurid teatanud andmepüügitegevuse tõusust.

BforeAI tegevjuhi Luigi Lenguito sõnul on need CrowdStrike'i järgsed rünnakud märkimisväärselt viljakamad ja sihipärasemad võrreldes tüüpiliste rünnakutega, mis järgnevad suurematele uudistele. "Eelmisel nädalal Trumpi vastu suunatud rünnakus nägime esimesel päeval 200 seotud küberohu tõusu, mis seejärel langes 40-50ni päevas," märkis Lenguito. "Siin näete naela, mis on kolm korda suurem. Me näeme umbes 150–300 rünnakut päevas, mis ei ole uudistega seotud rünnakute jaoks tavaline maht."

CrowdStrike-teemalise kelmuse profiil

Nende pettuste taga olev strateegia on selge: kuna paljude suurettevõtete kasutajad ei saa CrowdStrike'i teenustega ühendust luua, kasutavad küberkurjategijad seda haavatavust ära. Nende rünnakute sihipärasus eristab neid teistest temaatilistest petuskeemidest, näiteks poliitiliste sündmustega seotud pettustest. Ohvrid on sageli tehniliselt osavamad ja küberturvalisusest teadlikumad.

Ründajad on kehastanud CrowdStrike'i, sellega seotud tehnilist tuge või isegi konkureerivaid ettevõtteid, kes pakuvad oma "parandusi". Tekkinud on andmepüügi- ja trükidomeenid, nagu crowdstrikefix[.]com, crowdstrikeupdate[.]com ja www.microsoftcrowdstrike[.]com, kus on tuvastatud üle 2000 sellise domeeni.

Neid domeene kasutatakse pahavara levitamiseks, sealhulgas kiirparandusena kujutatud ZIP-faili, mis sisaldab HijackLoaderit (tuntud ka kui IDAT Loader), mis seejärel laadib RemCos RAT-i. Sellest failist teatati esmakordselt Mehhikost ja see sisaldas hispaaniakeelseid failinimesid, mis viitab keskendumisele CrowdStrike'i klientidele Ladina-Ameerikas.

Teisel juhul saatsid ründajad andmepüügimeili halvasti kujundatud PDF-manusega. PDF-fail sisaldas linki käivitatava failiga ZIP-faili allalaadimiseks. Käivitamisel küsis käivitatav luba värskenduse installimiseks, mis osutus klaasipuhastiks. Vastutuse võttis Hamasi-meelne häkkimisrühmitus "Handala", teatades, et "kümned" Iisraeli organisatsioonid on selle tagajärjel kaotanud mitu terabaiti andmeid.

Nende ohtude eest kaitsmine

Organisatsioonid saavad end kaitsta, rakendades blokeeringuid, kasutades kaitsvaid DNS-tööriistu ja tagades, et nad otsivad tuge ainult CrowdStrike'i ametlikult veebisaidilt ja klienditeeninduskanalitelt. Lenguito oletab, et rünnakute kasv on alles algusjärgus, kuid tõenäoliselt väheneb lähinädalatel. "Üldiselt kestavad need kampaaniad kaks kuni kolm nädalat," märkis ta.

Olles valvas ja tuginedes tehnilise toe kontrollitud allikatele, saavad organisatsioonid maandada riske, mida need keerukad ja sihitud andmepüügirünnakud põhjustavad.

Laadimine...