Huijaushälytys! Kyberrikolliset käyttävät hyväkseen CrowdStrike-katkosten korjauspäivityksiä, jotka sisältävät haittaohjelmia
Viime viikon CrowdStrike-seisokin jälkeen kyberrikolliset ovat tarttuneet tilaisuuteen käynnistää tietoturvatoimittajan asiakkaita vastaan suunnatun sosiaalisen suunnittelun hyökkäysaallon. Tätä tapahtumaa, joka häiritsi lentoliikennettä, sulki myymälöitä ja vaikutti lääketieteellisiin tiloihin, on seurannut tietojenkalastelutoiminnan räjähdysmäinen määrä, jonka ovat raportoineet kansalliset kyberturvallisuusvirastot Yhdysvalloissa, Isossa-Britanniassa, Kanadassa ja Australiassa.
BforeAI:n toimitusjohtajan Luigi Lenguiton mukaan nämä CrowdStriken jälkeiset hyökkäykset ovat huomattavasti tuotteliaampia ja kohdennetumpia verrattuna tyypillisiin suuria uutistapahtumia seuraaviin hyökkäyksiin. "Viime viikolla Trumpiin tehdyssä hyökkäyksessä näimme ensimmäisenä päivänä piikin 200 liittyvän kyberuhan määrässä, jotka sitten tasoittuivat 40-50:een päivässä", Lenguito huomautti. "Tässä tarkastelet piikkiä, joka on kolme kertaa suurempi. Näemme noin 150-300 hyökkäystä päivässä, mikä ei ole normaali määrä uutisiin liittyville hyökkäyksille."
CrowdStrike-teeman huijauksen profiili
Näiden huijausten taustalla oleva strategia on selvä: koska monet suuryritykset eivät pysty muodostamaan yhteyttä CrowdStriken palveluihin, kyberrikolliset käyttävät hyväkseen tätä haavoittuvuutta. Näiden hyökkäysten kohdennettu luonne erottaa ne muista teemahuijauksista, kuten poliittisiin tapahtumiin liittyvistä huijauksista. Uhrit ovat usein teknisesti taitavampia ja tietoisempia kyberturvallisuudesta.
Hyökkääjät ovat esittäneet CrowdStrikea, siihen liittyvää teknistä tukea tai jopa kilpailevia yrityksiä, jotka tarjoavat omia "korjauksia". Tietojenkalastelu- ja kirjoitusvirheverkkotunnuksia, kuten crowdstrikefix[.]com, crowdstrikeupdate[.]com ja www.microsoftcrowdstrike[.]com, on syntynyt, ja tällaisia verkkotunnuksia on tunnistettu yli 2 000.
Näitä verkkotunnuksia käytetään haittaohjelmien levittämiseen, mukaan lukien hotfix-korjauksena esiintyvä ZIP-tiedosto, joka sisältää HijackLoaderin (tunnetaan myös nimellä IDAT Loader), joka lataa myöhemmin RemCos RAT:n. Tämä tiedosto ilmoitettiin ensin Meksikosta, ja se sisälsi espanjankielisiä tiedostonimiä, mikä viittaa keskittymiseen CrowdStrike-asiakkaisiin Latinalaisessa Amerikassa.
Toisessa tapauksessa hyökkääjät lähettivät tietojenkalasteluviestin, jossa oli huonosti suunniteltu PDF-liite. PDF sisälsi linkin ZIP-tiedoston lataamiseen suoritettavan tiedoston kanssa. Kun suoritettava tiedosto käynnistettiin, se pyysi lupaa asentaa päivitys, joka osoittautui pyyhkijäksi. Hamas-mielinen hacktivistiryhmä "Handala" otti vastuun ja ilmoitti, että "kymmeniä" israelilaisjärjestöjä oli menettänyt useita teratavuja dataa seurauksena.
Suojautuminen näitä uhkia vastaan
Organisaatiot voivat suojautua ottamalla käyttöön estoluetteloita, käyttämällä suojaavia DNS-työkaluja ja varmistamalla, että ne hakevat tukea vain CrowdStriken viralliselta verkkosivustolta ja asiakaspalvelukanavilta. Lenguito ehdottaa, että hyökkäysten lisääntyminen on vielä alkuvaiheessa, mutta todennäköisesti heikkenee tulevien viikkojen aikana. "Yleensä nämä kampanjat kestävät kahdesta kolmeen viikkoa", hän huomautti.
Pysymällä valppaana ja luottamalla varmennettuihin lähteisiin teknisen tuen saamiseksi organisaatiot voivat vähentää näiden kehittyneiden ja kohdistettujen tietojenkalasteluhyökkäysten aiheuttamia riskejä.