Oplichtingswaarschuwing! Cybercriminelen maken misbruik van CrowdStrike-storingen met fix-updates die malware bevatten
In de nasleep van de CrowdStrike-storing van vorige week hebben cybercriminelen de kans aangegrepen om een golf van social engineering-aanvallen te lanceren, gericht op de klanten van de beveiligingsleverancier . Deze gebeurtenis, die het vliegverkeer ontwrichtte, winkels sloot en medische voorzieningen trof, werd gevolgd door een golf van phishing-activiteiten, gerapporteerd door nationale cyberveiligheidsagentschappen in de VS, het VK, Canada en Australië.
Volgens Luigi Lenguito, CEO van BforeAI, zijn deze post-CrowdStrike-aanvallen aanzienlijk productiever en doelgerichter in vergelijking met typische aanvallen die volgen op grote nieuwsgebeurtenissen. “Bij de aanval van vorige week op Trump zagen we op de eerste dag een piek van 200 gerelateerde cyberdreigingen, die vervolgens afvlakte tot 40 tot 50 per dag”, merkte Lenguito op. "Hier kijk je naar een piek die drie keer zo groot is. We zien ongeveer 150 tot 300 aanvallen per dag, wat niet het normale volume is voor nieuwsgerelateerde aanvallen."
Profiel van een oplichting met CrowdStrike-thema
De strategie achter deze oplichting is duidelijk: omdat veel gebruikers van grote bedrijven geen verbinding kunnen maken met de diensten van CrowdStrike, misbruiken cybercriminelen deze kwetsbaarheid. Het doelgerichte karakter van deze aanvallen onderscheidt ze van andere thematische oplichting, zoals oplichting die verband houdt met politieke gebeurtenissen. De slachtoffers zijn vaak technisch bedrevener en beter op de hoogte van cyberbeveiliging.
Aanvallers imiteren CrowdStrike, gerelateerde technische ondersteuning of zelfs concurrerende bedrijven die hun eigen 'oplossingen' aanbieden. Phishing- en typosquatting-domeinen zoals crowdstrikefix[.]com, crowdstrikeupdate[.]com en www.microsoftcrowdstrike[.]com zijn opgedoken, waarbij meer dan 2.000 van dergelijke domeinen zijn geïdentificeerd.
Deze domeinen worden gebruikt om malware te verspreiden, waaronder een ZIP-bestand dat zich voordoet als een hotfix en dat HijackLoader (ook bekend als IDAT Loader) bevat, die vervolgens de RemCos RAT laadt. Dit bestand werd voor het eerst gerapporteerd vanuit Mexico en bevatte Spaanstalige bestandsnamen, wat erop duidt dat de focus ligt op CrowdStrike-klanten in Latijns-Amerika.
In een ander geval stuurden aanvallers een phishing-e-mail met een slecht ontworpen pdf-bijlage. De PDF bevatte een link om een ZIP-bestand met een uitvoerbaar bestand te downloaden. Bij het opstarten vroeg het uitvoerbare bestand om toestemming om een update te installeren, wat een wisser bleek te zijn. De pro-Hamas hacktivistische groep ‘Handala’ eiste de verantwoordelijkheid op en stelde dat ‘tientallen’ Israëlische organisaties als gevolg daarvan verschillende terabytes aan gegevens waren kwijtgeraakt.
Bescherming tegen deze bedreigingen
Organisaties kunnen zichzelf beschermen door blokkeerlijsten te implementeren, beschermende DNS-tools te gebruiken en ervoor te zorgen dat ze alleen ondersteuning zoeken via de officiële website en klantenservicekanalen van CrowdStrike . Lenguito suggereert dat de golf van aanvallen zich nog in de beginfase bevindt, maar de komende weken waarschijnlijk zal afnemen. "Over het algemeen duren deze campagnes twee tot drie weken", merkte hij op.
Door waakzaam te blijven en te vertrouwen op geverifieerde bronnen voor technische ondersteuning, kunnen organisaties de risico's van deze geavanceerde en gerichte phishing-aanvallen beperken.