CrowdStrike Scam

CrowdStrike, un'importante azienda di sicurezza informatica, ha inavvertitamente innescato diffuse interruzioni del sistema con un errato aggiornamento di Windows il 19 luglio 2024. Questo incidente tecnico non solo ha interrotto le operazioni, ma ha anche aperto una finestra di opportunità per i criminali informatici di sfruttare i sistemi vulnerabili per attività minacciose.

Distribuzione di malware tramite aggiornamenti falsi

Uno dei metodi principali utilizzati dai criminali informatici è stato la distribuzione di malware mascherati da aggiornamenti legittimi di CrowdStrike. Questi aggiornamenti fraudolenti includevano:

1. Il RAT di Remcos rivolto ai clienti della banca BBVA : una campagna mirata rivolta ai clienti della banca BBVA ha utilizzato un falso aggiornamento dell'hotfix CrowdStrike. Travestito da manutenzione essenziale del software, questo aggiornamento ha invece installato il Remcos Remote Access Trojan (RAT) . Questo malware consente l'accesso remoto non autorizzato ai computer infetti, facilitando lo spionaggio, il furto di dati e l'ulteriore compromissione dei sistemi sensibili.
2. Cancellazione dei dati tramite e-mail di phishing : in un altro caso, i criminali informatici hanno distribuito e-mail spacciandosi per aggiornamenti di CrowdStrike. Queste e-mail richiedevano ai destinatari di scaricare un file ZIP contenente presumibilmente la patch di sicurezza necessaria. Tuttavia, il file conteneva in realtà un malware per la rimozione dei dati. I data wiper sono progettati per cancellare o corrompere irreversibilmente i dati sui sistemi interessati, causando gravi implicazioni operative e di perdita di dati per le vittime.

Schemi che sfruttano l’incidente

Approfittando del caos causato dall'errore di aggiornamento di CrowdStrike, i truffatori hanno lanciato vari schemi fraudolenti:

• Token di criptovaluta falsi: i truffatori hanno promosso token fittizi come $CROWDSTRIKE o $CROWDSTROKE, incitando individui ignari a divulgare informazioni personali o a trasferire criptovaluta sotto pretesto.
• Offerte di risarcimento: impersonando entità legittime, i truffatori offrono un risarcimento agli utenti interessati. Queste offerte miravano a indurre le vittime a divulgare informazioni sensibili, a pagare per servizi inesistenti o a concedere l'accesso remoto ai propri computer. Tali azioni potrebbero portare a ulteriori infezioni da malware, perdite finanziarie e violazioni dei dati.

Canali e tecniche di distribuzione

I truffatori hanno utilizzato diversi canali e tecniche ingannevoli per diffondere i loro schemi:

• E-mail di phishing : le e-mail false di aggiornamento di CrowdStrike sono state ampiamente distribuite, sfruttando la fiducia negli aggiornamenti software legittimi per indurre i destinatari a scaricare malware.

• Siti Web falsi e ingegneria sociale : i truffatori hanno creato siti Web contraffatti che assomigliano a servizi legittimi o portali Intranet (ad esempio BBVA Intranet), inducendo gli utenti a installare software dannoso.

• Account di social media compromessi : aggiornamenti fraudolenti sono stati diffusi anche attraverso account compromessi su piattaforme come X (ex Twitter), sfruttando un vasto pubblico per diffondere collegamenti e contenuti dannosi.

L'incidente che ha coinvolto l'aggiornamento difettoso di CrowdStrike ha sottolineato la necessità fondamentale di solide misure di sicurezza informatica e vigilanza degli utenti. I criminali informatici hanno rapidamente sfruttato l’interruzione causata dall’errore di aggiornamento, distribuendo malware sofisticati e orchestrando schemi fraudolenti. Sia gli utenti che le organizzazioni devono restare vigili contro i tentativi di phishing, le e-mail sospette e le tattiche online ingannevoli per ridurre il rischio di cadere vittime di attività non sicure. Gli sforzi da parte di entità legittime, come il rilascio di una vera soluzione da parte di Microsoft, sono fondamentali per mitigare le conseguenze di tali incidenti e ripristinare la fiducia nelle misure di sicurezza digitale.