Brīdinājums par krāpniecību! Kibernoziedznieki izmanto CrowdStrike pārtraukumu, labojot atjauninājumus, kas satur ļaunprātīgu programmatūru
Pēc pagājušās nedēļas CrowdStrike pārtraukuma kibernoziedznieki ir izmantojuši iespēju uzsākt sociālās inženierijas uzbrukumu vilni, kas vērsta pret drošības pārdevēja klientiem . Šim notikumam, kas traucēja gaisa satiksmi, tika slēgti veikali un ietekmēja medicīnas iestādes, ir sekojis pikšķerēšanas aktivitāšu pieaugums, par ko ziņo nacionālās kiberdrošības aģentūras ASV, Apvienotajā Karalistē, Kanādā un Austrālijā.
Saskaņā ar BforeAI izpilddirektora Luidži Lenguito teikto, šie pēc CrowdStrike uzbrukumi ir ievērojami produktīvāki un mērķtiecīgāki salīdzinājumā ar tipiskiem uzbrukumiem, kas tiek veikti pēc galvenajiem ziņu notikumiem. "Pagājušajā nedēļā uzbrukumā Trampam mēs redzējām 200 saistīto kiberdraudu pieaugumu pirmajā dienā, kas pēc tam samazinājās līdz 40-50 dienā," norādīja Lengito. "Šeit jūs skatāties uz smaili, kas ir trīs reizes lielāks. Mēs redzam aptuveni 150 līdz 300 uzbrukumu dienā, kas nav normāls ar ziņām saistīto uzbrukumu skaits."
CrowdStrike tēmas krāpniecības profils
Šīs krāpniecības stratēģija ir skaidra: tā kā daudzu lielu korporāciju lietotāji nevar izveidot savienojumu ar CrowdStrike pakalpojumiem, kibernoziedznieki izmanto šo ievainojamību. Šo uzbrukumu mērķtiecīgais raksturs atšķir tos no citām tematiskām krāpniecībām, piemēram, tām, kas saistītas ar politiskiem notikumiem. Cietušie bieži ir tehniski prasmīgāki un zinošāki par kiberdrošību.
Uzbrucēji uzdodas par CrowdStrike, saistīto tehnisko atbalstu vai pat konkurējošiem uzņēmumiem, kas piedāvā savus "labojumus". Ir parādījušies pikšķerēšanas un drukas domēni, piemēram, crowdstrikefix[.]com, crowdstrikeupdate[.]com un www.microsoftcrowdstrike[.]com, un ir identificēti vairāk nekā 2000 šādu domēnu.
Šie domēni tiek izmantoti, lai izplatītu ļaunprātīgu programmatūru, tostarp ZIP failu, kas tiek uzskatīts par labojumfailu, kas satur HijackLoader (pazīstams arī kā IDAT Loader), kas pēc tam ielādē RemCos RAT. Par šo failu pirmo reizi tika ziņots no Meksikas, un tajā bija iekļauti spāņu valodas failu nosaukumi, kas liek domāt par CrowdStrike klientiem Latīņamerikā.
Citā gadījumā uzbrucēji nosūtīja pikšķerēšanas e-pastu ar slikti izstrādātu PDF pielikumu. PDF failā bija saite, lai lejupielādētu ZIP failu ar izpildāmo failu. Palaižot izpildāmo failu, tika lūgta atļauja instalēt atjauninājumu, kas izrādījās tīrītājs. Atbildību uzņēmās Hamas atbalstošais hakeru grupējums "Handala", norādot, ka tā rezultātā "desmitiem" Izraēlas organizāciju zaudējušas vairākus terabaitus datu.
Aizsardzība pret šiem draudiem
Organizācijas var sevi aizsargāt, ieviešot bloķēšanas sarakstus, izmantojot aizsargājošus DNS rīkus un nodrošinot, ka tās meklē atbalstu tikai no CrowdStrike oficiālās vietnes un klientu apkalpošanas kanāliem. Lenguito norāda, ka uzbrukumu pieaugums joprojām ir agrīnā stadijā, taču tuvāko nedēļu laikā tas, visticamāk, samazināsies. "Parasti šīs kampaņas ilgst divas līdz trīs nedēļas," viņš novēroja.
Saglabājot modrību un paļaujoties uz pārbaudītiem tehniskā atbalsta avotiem, organizācijas var mazināt riskus, ko rada šie sarežģītie un mērķtiecīgie pikšķerēšanas uzbrukumi.