התראת הונאה! פושעי סייבר מנצלים את הפסקת CrowdStrike עם עדכוני תיקון המכילים תוכנה זדונית
בעקבות הפסקת ה-CrowdStrike בשבוע שעבר , פושעי סייבר ניצלו את ההזדמנות להשיק גל של התקפות הנדסה חברתית שכוונו ללקוחות של ספק האבטחה . אירוע זה, ששיבש נסיעות אוויריות, סגר חנויות והשפיע על מתקנים רפואיים, מלווה עלייה בפעילויות דיוג שדווחו על ידי סוכנויות אבטחת סייבר לאומיות בארה"ב, בריטניה, קנדה ואוסטרליה.
לדברי לואיג'י Lenguito, מנכ"ל BforeAI, התקפות אלו שלאחר CrowdStrike הן פוריות יותר וממוקדות יותר בהשוואה להתקפות טיפוסיות בעקבות אירועי חדשות מרכזיים. "במתקפה בשבוע שעבר על טראמפ, ראינו זינוק ביום הראשון מתוך 200 איומי סייבר הקשורים, שהשתטחו לאחר מכן ל-40-50 ביום", ציין Lenguito. "הנה, אתה מסתכל על ספייק שגדול פי שלושה. אנחנו רואים בערך 150 עד 300 התקפות ביום, שזה לא הנפח הרגיל להתקפות הקשורות לחדשות".
פרופיל של הונאה בנושא CrowdStrike
האסטרטגיה מאחורי ההונאות הללו ברורה: כשמשתמשים רבים של תאגידים גדולים אינם יכולים להתחבר לשירותים של CrowdStrike, פושעי סייבר מנצלים את הפגיעות הזו. האופי הממוקד של התקפות אלו מבדיל אותן מהונאות נושאיות אחרות, כגון אלו הקשורות לאירועים פוליטיים. הקורבנות לרוב מיומנים יותר מבחינה טכנית ובקיאים באבטחת סייבר.
התוקפים התחזו ל-CrowdStrike, לתמיכה טכנית קשורה, או אפילו לחברות מתחרות שמציעות "תיקונים" משלהן. הופיעו דומיינים של פישינג ודפוסי הקלדה כגון crowdstrikefix[.]com, crowdstrikeupdate[.]com ו-www.microsoftcrowdstrike[.]com, עם למעלה מ-2,000 דומיינים כאלה שזוהו.
תחומים אלה משמשים להפצת תוכנות זדוניות, כולל קובץ ZIP המתחזה לתיקון חם המכיל HijackLoader (הידוע גם בשם IDAT Loader), אשר לאחר מכן טוען את RemCos RAT. קובץ זה דווח לראשונה ממקסיקו וכלל שמות קבצים בשפה הספרדית, דבר המצביע על התמקדות בלקוחות CrowdStrike באמריקה הלטינית.
במקרה אחר, תוקפים שלחו הודעת דיוג עם קובץ PDF מצורף מעוצב בצורה גרועה. ה-PDF הכיל קישור להורדת קובץ ZIP עם קובץ הפעלה. עם ההשקה, קובץ ההפעלה ביקש אישור להתקין עדכון, שהתברר כמגב. ארגון ההאקטיביסטים הפרו-חמאס "הנדלה" לקח אחריות וקבע כי "עשרות" ארגונים ישראלים איבדו מספר טרה-בייט של נתונים כתוצאה מכך.
הגנה מפני איומים אלו
ארגונים יכולים להגן על עצמם על ידי הטמעת רשימות חסימה, שימוש בכלי DNS מגנים, והבטחה שהם מחפשים תמיכה רק מהאתר הרשמי של CrowdStrike ומערוצי שירות הלקוחות. Lenguito מצביע על כך שהעלייה בהתקפות עדיין בשלביה המוקדמים, אך צפויה להתפוגג במהלך השבועות הקרובים. "באופן כללי, הקמפיינים האלה נמשכים שבועיים עד שלושה", הוא ציין.
על ידי שמירה על ערנות והסתמכות על מקורות מאומתים לתמיכה טכנית, ארגונים יכולים להפחית את הסיכונים הנשקפים מהתקפות דיוג מתוחכמות וממוקדות אלו.