Svindelvarsel! Nettkriminelle utnytter CrowdStrike-avbrudd med fikseoppdateringer som inneholder skadelig programvare
I kjølvannet av forrige ukes CrowdStrike-brudd , har nettkriminelle grepet muligheten til å starte en bølge av sosiale ingeniørangrep rettet mot sikkerhetsleverandørens kunder . Denne hendelsen, som forstyrret flyreiser, stengte butikker og berørte medisinske fasiliteter, har blitt fulgt av en økning i phishing-aktiviteter rapportert av nasjonale cybersikkerhetsbyråer i USA, Storbritannia, Canada og Australia.
Ifølge Luigi Lenguito, administrerende direktør i BforeAI, er disse post-CrowdStrike-angrepene spesielt mer produktive og målrettede sammenlignet med typiske angrep som følger store nyhetshendelser. "I angrepet på Trump forrige uke så vi en topp på den første dagen av 200 relaterte cybertrusler, som deretter flatet ut til 40-50 om dagen," bemerket Lenguito. "Her ser du på en topp som er tre ganger så stor. Vi ser rundt 150 til 300 angrep per dag, som ikke er det normale volumet for nyhetsrelaterte angrep."
Profil av svindel med CrowdStrike-tema
Strategien bak disse svindelene er klar: med mange store selskapers brukere som ikke kan koble seg til CrowdStrikes tjenester, utnytter nettkriminelle denne sårbarheten. Den målrettede naturen til disse angrepene skiller dem fra andre temasvindeler, for eksempel de som er relatert til politiske hendelser. Ofrene er ofte mer teknisk dyktige og kunnskapsrike om cybersikkerhet.
Angripere har utgitt seg for CrowdStrike, relatert teknisk støtte, eller til og med konkurrerende selskaper som tilbyr sine egne "fikser". Phishing og typosquatting-domener som crowdstrikefix[.]com, crowdstrikeupdate[.]com og www.microsoftcrowdstrike[.]com har dukket opp, med over 2000 slike domener identifisert.
Disse domenene brukes til å distribuere skadelig programvare, inkludert en ZIP-fil som utgir seg for å være en hurtigreparasjon som inneholder HijackLoader (også kjent som IDAT Loader), som deretter laster inn RemCos RAT. Denne filen ble først rapportert fra Mexico og inkluderte spanskspråklige filnavn, noe som tyder på fokus på CrowdStrike-kunder i Latin-Amerika.
I et annet tilfelle sendte angripere en phishing-e-post med et dårlig utformet PDF-vedlegg. PDF-en inneholdt en lenke for å laste ned en ZIP-fil med en kjørbar fil. Da den ble lansert, ba den kjørbare om tillatelse til å installere en oppdatering, som viste seg å være en visker. Den pro-Hamas hacktivistgruppen «Handala» tok på seg ansvaret, og uttalte at «dusinvis» av israelske organisasjoner hadde mistet flere terabyte med data som et resultat.
Beskyttelse mot disse truslene
Organisasjoner kan beskytte seg selv ved å implementere blokkeringslister, bruke beskyttende DNS-verktøy og sikre at de kun søker støtte fra CrowdStrikes offisielle nettsted og kundeservicekanaler. Lenguito antyder at økningen i angrep fortsatt er i de tidlige stadiene, men at det sannsynligvis vil avta i løpet av de kommende ukene. "Generelt varer disse kampanjene to til tre uker," observerte han.
Ved å være på vakt og stole på bekreftede kilder for teknisk støtte, kan organisasjoner redusere risikoen som disse sofistikerte og målrettede phishing-angrepene utgjør.