Makluman Penipuan! Penjenayah Siber Mengeksploitasi Pemadaman CrowdStrike dengan Betulkan Kemas Kini Yang Mengandungi Perisian Hasad
Berikutan gangguan CrowdStrike minggu lalu , penjenayah siber telah merebut peluang untuk melancarkan gelombang serangan kejuruteraan sosial yang ditujukan kepada pelanggan vendor keselamatan itu . Peristiwa ini, yang mengganggu perjalanan udara, menutup kedai dan kemudahan perubatan yang terjejas, telah diikuti oleh lonjakan dalam aktiviti pancingan data yang dilaporkan oleh agensi keselamatan siber nasional di AS, UK, Kanada dan Australia.
Menurut Luigi Lenguito, Ketua Pegawai Eksekutif BforeAI, serangan selepas CrowdStrike ini lebih prolifik dan disasarkan berbanding serangan biasa yang mengikuti peristiwa berita utama. "Dalam serangan minggu lalu ke atas Trump, kami melihat lonjakan pada hari pertama 200 ancaman siber yang berkaitan, yang kemudiannya mendatar kepada 40-50 sehari," kata Lenguito. "Di sini, anda melihat lonjakan yang tiga kali ganda lebih besar. Kami melihat kira-kira 150 hingga 300 serangan setiap hari, yang bukan jumlah biasa untuk serangan berkaitan berita."
Profil Penipuan Bertemakan CrowdStrike
Strategi di sebalik penipuan ini adalah jelas: dengan banyak pengguna syarikat besar tidak dapat menyambung ke perkhidmatan CrowdStrike, penjenayah siber mengeksploitasi kelemahan ini. Sifat sasaran serangan ini membezakannya daripada penipuan bertema lain, seperti yang berkaitan dengan acara politik. Mangsa selalunya lebih mahir dari segi teknikal dan berpengetahuan tentang keselamatan siber.
Penyerang telah menyamar sebagai CrowdStrike, sokongan teknikal yang berkaitan, atau malah syarikat pesaing yang menawarkan "pembetulan" mereka sendiri. Domain pancingan data dan typosquatting seperti crowdstrikefix[.]com, crowdstrikeupdate[.]com dan www.microsoftcrowdstrike[.]com telah muncul, dengan lebih 2,000 domain sedemikian dikenal pasti.
Domain ini digunakan untuk mengedarkan perisian hasad, termasuk fail ZIP yang menyamar sebagai pembaikan terbaru yang mengandungi HijackLoader (juga dikenali sebagai IDAT Loader), yang kemudiannya memuatkan RemCos RAT. Fail ini pertama kali dilaporkan dari Mexico dan termasuk nama fail bahasa Sepanyol, mencadangkan tumpuan pada pelanggan CrowdStrike di Amerika Latin.
Dalam keadaan lain, penyerang menghantar e-mel pancingan data dengan lampiran PDF yang direka bentuk dengan buruk. PDF mengandungi pautan untuk memuat turun fail ZIP dengan boleh laku. Apabila dilancarkan, executable meminta kebenaran untuk memasang kemas kini, yang ternyata menjadi pengelap. Kumpulan hacktivis pro-Hamas "Handala" mengaku bertanggungjawab, menyatakan bahawa "berpuluh-puluh" organisasi Israel telah kehilangan beberapa terabait data akibatnya.
Melindungi Terhadap Ancaman Ini
Organisasi boleh melindungi diri mereka dengan melaksanakan senarai sekat, menggunakan alat DNS pelindung, dan memastikan mereka hanya mendapatkan sokongan daripada tapak web rasmi CrowdStrike dan saluran perkhidmatan pelanggan. Lenguito mencadangkan bahawa lonjakan serangan masih di peringkat awal tetapi mungkin berkurangan dalam beberapa minggu akan datang. "Secara amnya, kempen ini berlangsung dua hingga tiga minggu," katanya.
Dengan sentiasa berwaspada dan bergantung pada sumber yang disahkan untuk sokongan teknikal, organisasi boleh mengurangkan risiko yang ditimbulkan oleh serangan pancingan data yang canggih dan disasarkan ini.