CrowdStrike átverés

A CrowdStrike, egy prominens kiberbiztonsági cég, 2024. július 19-én egy hibás Windows-frissítéssel véletlenül széleskörű rendszerkimaradásokat váltott ki. Ez a technikai szerencsétlenség nemcsak a működést zavarta meg, hanem lehetőséget is nyitott a kiberbűnözők számára, hogy kiaknázzák a sebezhető rendszereket fenyegető tevékenységekre.

Rosszindulatú programok terjesztése hamis frissítéseken keresztül

A kiberbűnözők egyik elsődleges módszere a jogszerű CrowdStrike-frissítéseknek álcázott rosszindulatú programok terjesztése volt. Ezek a csaló frissítések a következőket tartalmazták:

1. A Remcos RAT a BBVA Bank ügyfeleit célozta meg : A BBVA bank ügyfeleit célzó kampány egy hamis CrowdStrike Hotfix frissítést használt. Ez a frissítés alapvető szoftverkarbantartásnak álcázva telepítette a Remcos Remote Access Trojan (RAT) programot . Ez a rosszindulatú program lehetővé teszi a fertőzött számítógépek jogosulatlan távoli elérését, megkönnyítve a kémkedést, az adatlopást és az érzékeny rendszerek további veszélyeztetését.
2. Adattörlő adathalász e-maileken keresztül : Egy másik esetben a kiberbűnözők olyan e-maileket terjesztettek, amelyek CrowdStrike-frissítéseknek adták ki magukat. Ezek az e-mailek arra utasították a címzetteket, hogy töltsenek le egy ZIP-fájlt, amely állítólag tartalmazza a szükséges biztonsági javítást. A fájl azonban valójában egy adattörlő kártevőt tartalmazott. Az adattörlőket úgy tervezték, hogy visszafordíthatatlanul töröljék vagy megsértsék az érintett rendszerek adatait, ami súlyos működési és adatvesztési következményekkel jár az áldozatok számára.

Az incidenst kihasználó sémák

A CrowdStrike frissítési hibája okozta káoszt kihasználva a csalók különféle csaló sémákat indítottak:

• Hamis kriptovaluta tokenek: A csalók olyan fiktív tokeneket reklámoztak, mint a $CROWDSTRIKE vagy a $CROWDSTROKE, és gyanútlan személyeket csábítottak személyes adatok közzétételére vagy kriptovaluta utalványozására.
• Kártérítési ajánlatok: A csalók jogos entitások kiadatásával kompenzációt kínálnak az érintett felhasználóknak. Ezeknek az ajánlatoknak az volt a célja, hogy rávegyék az áldozatokat, hogy bizalmas információkat adjanak ki, fizessenek nem létező szolgáltatásokért, vagy távoli hozzáférést biztosítsanak számítógépeikhez. Az ilyen intézkedések további rosszindulatú programok fertőzéséhez, pénzügyi veszteségekhez és adatszivárgáshoz vezethetnek.

Elosztási csatornák és technikák

A csalók különféle csatornákat és megtévesztő technikákat használtak terveik terjesztésére:

• Adathalász e-mailek : A hamis CrowdStrike-frissítő e-maileket széles körben terjesztették, kihasználva a legitim szoftverfrissítésekbe vetett bizalmat, hogy a címzetteket rosszindulatú programok letöltésére csalják meg.

• Hamis webhelyek és közösségi tervezés : A csalók törvényes szolgáltatásokra vagy intranetes portálokra (pl. BBVA Intranet) emlékeztető hamisított webhelyeket hoztak létre, és rávetették a felhasználókat, hogy rosszindulatú szoftvereket telepítsenek.

• Kompromittált közösségimédia-fiókok : A csalárd frissítéseket az X-hez hasonló platformokon (korábban Twitteren) lévő feltört fiókokon keresztül is terjesztették, széles közönséget kihasználva a rosszindulatú hivatkozások és tartalmak terjesztésére.

A CrowdStrike hibás frissítésével kapcsolatos incidens rávilágított a robusztus kiberbiztonsági intézkedések és a felhasználói éberség kritikus szükségességére. A kiberbűnözők gyorsan kamatoztatták a frissítési hiba okozta fennakadást, kifinomult rosszindulatú programokat telepítettek és csaló sémákat szerveztek. A felhasználóknak és a szervezeteknek egyaránt ébernek kell maradniuk az adathalász kísérletekkel, a gyanús e-mailekkel és a megtévesztő online taktikákkal szemben, hogy csökkentsék az ilyen nem biztonságos tevékenységek áldozatává válásának kockázatát. A törvényes entitások erőfeszítései, mint például a Microsoft eredeti javításának kiadása, kulcsfontosságúak az ilyen incidensek következményeinek enyhítésében és a digitális biztonsági intézkedésekbe vetett bizalom helyreállításában.