Oszustwo CrowdStrike

CrowdStrike, wiodąca firma zajmująca się cyberbezpieczeństwem, 19 lipca 2024 r. nieumyślnie spowodowała powszechne awarie systemów poprzez błędną aktualizację systemu Windows. Ta wpadka techniczna nie tylko zakłóciła operacje, ale także otworzyła cyberprzestępcom szansę na wykorzystanie podatnych na ataki systemów do niebezpiecznych działań.

Dystrybucja złośliwego oprogramowania poprzez fałszywe aktualizacje

Jedną z głównych metod stosowanych przez cyberprzestępców była dystrybucja złośliwego oprogramowania podszywającego się pod legalne aktualizacje CrowdStrike. Te fałszywe aktualizacje obejmowały:

1. Remcos RAT skierowany do klientów banku BBVA : Ukierunkowana kampania skierowana do klientów banku BBVA wykorzystywała fałszywą aktualizację CrowdStrike Hotfix. Ta aktualizacja, udająca niezbędną konserwację oprogramowania, zamiast tego instalowała trojana zdalnego dostępu Remcos (RAT) . To złośliwe oprogramowanie umożliwia nieautoryzowany zdalny dostęp do zainfekowanych komputerów, ułatwiając szpiegostwo, kradzież danych i dalsze naruszanie wrażliwych systemów.
2. Usuwanie danych za pośrednictwem wiadomości e-mail typu phishing : w innym przypadku cyberprzestępcy rozsyłali wiadomości e-mail udające aktualizacje CrowdStrike. W tych e-mailach odbiorcy instruowali, aby pobrali plik ZIP rzekomo zawierający niezbędną poprawkę zabezpieczeń. Jednak w rzeczywistości plik zawierał złośliwe oprogramowanie służące do usuwania danych. Czyszczenia danych mają na celu nieodwracalne usuwanie lub uszkodzenie danych w systemach, których dotyczy problem, powodując poważne konsekwencje operacyjne i utratę danych dla ofiar.

Schematy wykorzystujące incydent

Wykorzystując chaos wywołany błędem aktualizacji CrowdStrike, oszuści uruchomili różne oszukańcze schematy:

• Fałszywe tokeny kryptowalut: Oszuści promowali fikcyjne tokeny, takie jak $CROWDSTRIKE lub $CROWDSTROKE, zachęcając niczego niepodejrzewające osoby do ujawnienia danych osobowych lub transferu kryptowaluty pod pretekstem.
• Oferty rekompensaty: podszywając się pod legalne podmioty, oszuści oferują rekompensatę zainteresowanym użytkownikom. Oferty te miały na celu nakłonienie ofiar do ujawnienia poufnych informacji, zapłacenia za nieistniejące usługi lub przyznania zdalnego dostępu do swoich komputerów. Takie działania mogą prowadzić do dodatkowych infekcji złośliwym oprogramowaniem, strat finansowych i naruszeń danych.

Kanały i techniki dystrybucji

Oszuści wykorzystywali różne kanały i zwodnicze techniki do propagowania swoich schematów:

• E-maile phishingowe : fałszywe e-maile z aktualizacjami CrowdStrike były szeroko rozpowszechniane i wykorzystywały zaufanie do legalnych aktualizacji oprogramowania, aby oszukać odbiorców w celu pobrania złośliwego oprogramowania.

• Fałszywe strony internetowe i inżynieria społeczna : oszuści stworzyli fałszywe strony internetowe przypominające legalne usługi lub portale intranetowe (np. BBVA Intranet), namawiając użytkowników do zainstalowania złośliwego oprogramowania.

• Zaatakowane konta w mediach społecznościowych : fałszywe aktualizacje były również rozpowszechniane za pośrednictwem zhakowanych kont na platformach takich jak X (dawniej Twitter), wykorzystując szeroką publiczność do rozprzestrzeniania złośliwych linków i treści.

Incydent związany z błędną aktualizacją CrowdStrike uwypuklił krytyczną potrzebę stosowania solidnych środków cyberbezpieczeństwa i czujności użytkowników. Cyberprzestępcy szybko wykorzystali zakłócenia spowodowane błędem aktualizacji, wdrażając wyrafinowane złośliwe oprogramowanie i organizując oszukańcze schematy. Zarówno użytkownicy, jak i organizacje muszą zachować czujność wobec prób phishingu, podejrzanych e-maili i zwodniczych taktyk online, aby zmniejszyć ryzyko stania się ofiarą takich niebezpiecznych działań. Wysiłki podejmowane przez legalne podmioty, takie jak wydanie przez firmę Microsoft oryginalnej poprawki, mają kluczowe znaczenie dla łagodzenia skutków takich incydentów i przywracania zaufania do cyfrowych środków bezpieczeństwa.