Upozorenje o prijevari! Cyberkriminalci iskorištavaju prekid rada CrowdStrikea s ažuriranjima popravka koja sadrže zlonamjerni softver
Nakon prošlotjednog prekida rada CrowdStrikea , kibernetički kriminalci su iskoristili priliku za pokretanje vala napada društvenim inženjeringom usmjerenih na klijente dobavljača sigurnosnih usluga . Nakon ovog događaja, koji je prekinuo zračni promet, zatvorio trgovine i utjecao na medicinske ustanove, uslijedio je porast krađe identiteta o kojem su izvijestile nacionalne agencije za kibernetičku sigurnost u SAD-u, UK-u, Kanadi i Australiji.
Prema Luigiju Lenguitu, izvršnom direktoru BforeAI-ja, ovi napadi nakon CrowdStrikea znatno su plodniji i ciljaniji u usporedbi s tipičnim napadima koji slijede nakon velikih vijesti. "U prošlotjednom napadu na Trumpa, vidjeli smo skok prvog dana od 200 povezanih cyber prijetnji, koje su se zatim smanjile na 40-50 dnevno", primijetio je Lenguito. "Ovdje gledate u skok koji je tri puta veći. Vidimo oko 150 do 300 napada dnevno, što nije uobičajena količina za napade povezane s vijestima."
Profil prevare na temu CrowdStrike
Strategija iza ovih prijevara je jasna: budući da se mnogi korisnici velikih korporacija ne mogu povezati s uslugama CrowdStrikea, kibernetički kriminalci iskorištavaju ovu ranjivost. Ciljana priroda ovih napada razlikuje ih od drugih tematskih prijevara, poput onih povezanih s političkim događajima. Žrtve su često tehnički vještije i bolje poznaju kibersigurnost.
Napadači se lažno predstavljaju kao CrowdStrike, srodna tehnička podrška ili čak konkurentske tvrtke koje nude vlastite "popravke". Pojavile su se phishing i typosquatting domene kao što su crowdstrikefix[.]com, crowdstrikeupdate[.]com i www.microsoftcrowdstrike[.]com, s preko 2000 identificiranih takvih domena.
Te se domene koriste za distribuciju zlonamjernog softvera, uključujući ZIP datoteku koja se predstavlja kao hitni popravak koji sadrži HijackLoader (također poznat kao IDAT Loader), koji naknadno učitava RemCos RAT. Ova je datoteka prvi put prijavljena iz Meksika i uključivala je nazive datoteka na španjolskom jeziku, što sugerira fokus na klijente CrowdStrikea u Latinskoj Americi.
U drugom slučaju, napadači su poslali phishing e-poruku s loše dizajniranim PDF privitkom. PDF je sadržavao vezu za preuzimanje ZIP datoteke s izvršnom datotekom. Prilikom pokretanja, izvršna je datoteka tražila dopuštenje za instaliranje ažuriranja, što se pokazalo kao brisač. Pro-Hamasova haktivistička skupina "Handala" preuzela je odgovornost, navodeći da su "desetci" izraelskih organizacija kao rezultat toga izgubili nekoliko terabajta podataka.
Zaštita od ovih prijetnji
Organizacije se mogu zaštititi implementacijom popisa blokiranih, korištenjem zaštitnih DNS alata i osiguravanjem da podršku traže samo na službenoj web stranici CrowdStrikea i kanalima korisničke službe. Lenguito sugerira da je val napada još uvijek u ranoj fazi, ali će se vjerojatno smanjiti tijekom sljedećih tjedana. "Općenito, te kampanje traju dva do tri tjedna", primijetio je.
Održavanjem opreza i oslanjanjem na provjerene izvore tehničke podrške, organizacije mogu ublažiti rizike koje predstavljaju ovi sofisticirani i ciljani phishing napadi.