Įspėjimas apie sukčiavimą! Kibernetiniai nusikaltėliai išnaudoja „CrowdStrike“ trūkumą taisydami naujinius, kuriuose yra kenkėjiškų programų
Po praėjusios savaitės „CrowdStrike“ veiklos nutraukimo kibernetiniai nusikaltėliai pasinaudojo galimybe pradėti socialinės inžinerijos atakų bangą, nukreiptą prieš saugumo tiekėjo klientus . Po šio įvykio, kuris sutrikdė oro transportą, uždarė parduotuves ir paveikė medicinos įstaigas, padaugėjo sukčiavimo atvejų, apie kuriuos pranešė JAV, JK, Kanados ir Australijos nacionalinės kibernetinio saugumo agentūros.
Pasak Luigi Lenguito, „BforeAI“ generalinio direktoriaus, šios atakos po „CrowdStrike“ yra daug produktyvesnės ir taiklesnės, palyginti su įprastomis atakomis po svarbių naujienų įvykių. „Praėjusios savaitės atakos prieš Trumpą metu pirmą dieną matėme 200 susijusių kibernetinių grėsmių šuolį, kuris vėliau sumažėjo iki 40–50 per dieną“, – pažymėjo Lenguito. „Čia jūs žiūrite į tris kartus didesnį smaigalį. Matome apie 150–300 atakų per dieną, o tai nėra įprastas su naujienomis susijusių išpuolių skaičius“.
CrowdStrike tematikos sukčiavimo profilis
Šių aferų strategija yra aiški: daugeliui didelių korporacijų vartotojų negalint prisijungti prie CrowdStrike paslaugų, kibernetiniai nusikaltėliai naudojasi šiuo pažeidžiamumu. Tikslinis šių išpuolių pobūdis išskiria juos nuo kitų teminių sukčiavimo atvejų, pvz., susijusių su politiniais įvykiais. Aukos dažnai yra techniškai įgudusios ir išmanančios kibernetinį saugumą.
Užpuolikai apsimeta „CrowdStrike“, susijusia technine pagalba ar net konkuruojančiomis įmonėmis, siūlančiomis savo „pataisymus“. Atsirado sukčiavimo ir rašybos klaidų domenai, tokie kaip crowdstrikefix[.]com, crowdstrikeupdate[.]com ir www.microsoftcrowdstrike[.]com, kuriuose nustatyta daugiau nei 2 000 tokių domenų.
Šie domenai naudojami platinti kenkėjiškas programas, įskaitant ZIP failą, kuris yra karštoji pataisa, kurioje yra HijackLoader (taip pat žinomas kaip IDAT Loader), kuris vėliau įkelia RemCos RAT. Pirmą kartą apie šį failą buvo pranešta iš Meksikos ir jame buvo ispanų kalbos failų pavadinimai, o tai rodo, kad daugiausia dėmesio reikia skirti „CrowdStrike“ klientams Lotynų Amerikoje.
Kitu atveju užpuolikai išsiuntė sukčiavimo el. laišką su prastai sukurtu PDF priedu. PDF faile buvo nuoroda, skirta atsisiųsti ZIP failą su vykdomuoju failu. Kai paleistas, vykdomasis failas paprašė leidimo įdiegti naujinimą, kuris pasirodė esąs valytuvas. Atsakomybę prisiėmė „Hamas“ palaikanti programišių grupė „Handala“, pareikšdama, kad dėl to „dešimtys“ Izraelio organizacijų prarado kelis terabaitus duomenų.
Apsauga nuo šių grėsmių
Organizacijos gali apsisaugoti įdiegdamos blokavimo sąrašus, naudodamos apsauginius DNS įrankius ir užtikrindamos, kad pagalbos ieško tik oficialioje „CrowdStrike“ svetainėje ir klientų aptarnavimo kanaluose. Lenguito teigia, kad atakų padidėjimas vis dar yra ankstyvoje stadijoje, tačiau artimiausiomis savaitėmis greičiausiai sumažės. „Paprastai šios kampanijos trunka nuo dviejų iki trijų savaičių“, – pastebėjo jis.
Būdamos budrios ir pasikliaudamos patikrintais techninės pagalbos šaltiniais, organizacijos gali sumažinti šių sudėtingų ir tikslinių sukčiavimo atakų keliamą riziką.