Átverési figyelmeztetés! A kiberbűnözők kihasználják a CrowdStrike leállását rosszindulatú programokat tartalmazó javítási frissítésekkel
A múlt heti CrowdStrike kiesés nyomán a kiberbûnözõk megragadták a lehetõséget, hogy a biztonsági szolgáltató ügyfeleit célzó social engineering támadások hullámát indítsák el. Ezt az eseményt, amely megzavarta a légi közlekedést, bezárta az üzleteket és érintette az egészségügyi intézményeket, az adathalász tevékenységek megugrása követte, amelyekről az Egyesült Államok, az Egyesült Királyság, Kanada és Ausztrália nemzeti kiberbiztonsági ügynökségei számoltak be.
Luigi Lenguito, a BforeAI vezérigazgatója szerint ezek a CrowdStrike utáni támadások lényegesen termékenyebbek és célzottabbak, mint a jelentősebb híreket követő tipikus támadások. "A Trump elleni múlt heti támadásban 200 kapcsolódó kiberfenyegetés első napján kiugrást tapasztaltunk, amely aztán napi 40-50-re enyhült" - jegyezte meg Lenguito. "Itt egy háromszor akkora tüskét látunk. Naponta körülbelül 150-300 támadást látunk, ami nem a szokásos mennyiség a hírekkel kapcsolatos támadásoknál."
Egy CrowdStrike témájú átverés profilja
Az ilyen csalások mögött meghúzódó stratégia egyértelmű: mivel sok nagyvállalat felhasználója nem tud csatlakozni a CrowdStrike szolgáltatásaihoz, a kiberbűnözők kihasználják ezt a biztonsági rést. E támadások célzott jellege különbözteti meg őket más témájú, például politikai eseményekkel kapcsolatos csalásoktól. Az áldozatok technikailag gyakran ügyesebbek és jártasabbak a kiberbiztonság területén.
A támadók a CrowdStrike-ot, a kapcsolódó technikai támogatást, vagy akár a saját "javításaikat" kínáló konkurens vállalatokat adták ki. Adathalász és gépelési tartományok jelentek meg, mint például a crowdstrikefix[.]com, a crowdstrikeupdate[.]com és a www.microsoftcrowdstrike[.]com, és több mint 2000 ilyen domaint azonosítottak.
Ezeket a tartományokat rosszindulatú programok terjesztésére használják, beleértve a gyorsjavításnak tűnő ZIP-fájlt, amely tartalmazza a HijackLoader-t (más néven IDAT Loader-t), amely ezt követően betölti a RemCos RAT-ot. Ezt a fájlt először Mexikóból jelentették, és spanyol nyelvű fájlneveket tartalmazott, ami arra utal, hogy a latin-amerikai CrowdStrike-ügyfelekre kell összpontosítani.
Egy másik esetben a támadók adathalász e-mailt küldtek egy rosszul megtervezett PDF melléklettel. A PDF tartalmazott egy hivatkozást a ZIP-fájl letöltéséhez futtatható fájllal. Indításkor a végrehajtható fájl engedélyt kért egy frissítés telepítéséhez, amiről kiderült, hogy ablaktörlő. A Hamász-párti "Handala" hacktivista csoport vállalta a felelősséget, és kijelentette, hogy több tucat izraeli szervezet veszített el több terabájtnyi adatot emiatt.
Védelem e fenyegetések ellen
A szervezetek megvédhetik magukat tiltólisták bevezetésével, védő DNS-eszközök használatával, és biztosítják, hogy csak a CrowdStrike hivatalos webhelyéről és ügyfélszolgálati csatornáiról kérjenek támogatást . Lenguito azt sugallja, hogy a támadások megugrása még korai stádiumban van, de az elkövetkező hetekben valószínűleg csökkenni fog. "Általában ezek a kampányok két-három hétig tartanak" - jegyezte meg.
Azzal, hogy éber marad, és ellenőrzött technikai támogatási forrásokra támaszkodik, a szervezetek mérsékelhetik az ilyen kifinomult és célzott adathalász támadások által jelentett kockázatokat.