Uwaga o oszustwie! Cyberprzestępcy wykorzystują awarię CrowdStrike poprzez aktualizacje poprawek zawierające złośliwe oprogramowanie
W następstwie zeszłotygodniowej awarii CrowdStrike cyberprzestępcy wykorzystali okazję do przeprowadzenia fali ataków wykorzystujących inżynierię socjotechniczną wycelowanych w klientów dostawcy zabezpieczeń . Po tym wydarzeniu, które zakłóciło podróże lotnicze, zamknęło sklepy i miało wpływ na placówki medyczne, nastąpił gwałtowny wzrost aktywności phishingowej zgłoszonej przez krajowe agencje ds. cyberbezpieczeństwa w USA, Wielkiej Brytanii, Kanadzie i Australii.
Według Luigiego Lenguito, dyrektora generalnego BforeAI, ataki po CrowdStrike są znacznie bardziej skuteczne i ukierunkowane w porównaniu z typowymi atakami następującymi po najważniejszych wydarzeniach informacyjnych. „Podczas zeszłotygodniowego ataku na Trumpa pierwszego dnia zaobserwowaliśmy gwałtowny wzrost liczby 200 powiązanych zagrożeń cybernetycznych, a następnie liczba ta spadła do 40–50 dziennie” – zauważył Lenguito. „W tym przypadku mamy do czynienia ze wzrostem trzykrotnie większym. Obserwujemy około 150–300 ataków dziennie, co nie jest normalną liczbą ataków związanych z wiadomościami”.
Profil oszustwa o tematyce CrowdStrike
Strategia tych oszustw jest jasna: skoro użytkownicy wielu dużych korporacji nie mogą połączyć się z usługami CrowdStrike, cyberprzestępcy wykorzystują tę lukę. Ukierunkowany charakter tych ataków odróżnia je od innych oszustw tematycznych, np. związanych z wydarzeniami politycznymi. Ofiary są często bardziej biegłe technicznie i posiadają wiedzę na temat cyberbezpieczeństwa.
Atakujący podszywają się pod CrowdStrike, związaną z nim pomoc techniczną, a nawet konkurencyjne firmy oferujące własne „poprawki”. Pojawiły się domeny phishingowe i typosquattingowe, takie jak crowdstrikefix[.]com, crowdstrikeupdate[.]com i www.microsoftcrowdstrike[.]com, a zidentyfikowano ponad 2000 takich domen.
Domeny te są wykorzystywane do dystrybucji złośliwego oprogramowania, w tym pliku ZIP udającego poprawkę zawierającą program HijackLoader (znany również jako moduł ładujący IDAT), który następnie ładuje plik RemCos RAT. Ten plik został po raz pierwszy zgłoszony z Meksyku i zawierał hiszpańskojęzyczne nazwy plików, co sugerowało skupienie się na klientach CrowdStrike w Ameryce Łacińskiej.
W innym przypadku napastnicy wysłali wiadomość e-mail phishingową ze źle zaprojektowanym załącznikiem w formacie PDF. Plik PDF zawierał łącze umożliwiające pobranie pliku ZIP z plikiem wykonywalnym. Po uruchomieniu plik wykonywalny prosił o pozwolenie na zainstalowanie aktualizacji, która okazała się być wycieraczką. Do odpowiedzialności przyznała się prohamasowska grupa haktywistów „Handala”, stwierdzając, że „dziesiątki” izraelskich organizacji straciły w rezultacie kilka terabajtów danych.
Ochrona przed tymi zagrożeniami
Organizacje mogą się chronić, wdrażając listy blokowania, korzystając z ochronnych narzędzi DNS i upewniając się, że zwracają się o pomoc wyłącznie do oficjalnej strony internetowej CrowdStrike i kanałów obsługi klienta. Lenguito sugeruje, że wzrost liczby ataków jest wciąż na wczesnym etapie, ale prawdopodobnie osłabnie w nadchodzących tygodniach. „Zazwyczaj te kampanie trwają od dwóch do trzech tygodni” – zauważył.
Zachowując czujność i polegając na zweryfikowanych źródłach wsparcia technicznego, organizacje mogą ograniczyć ryzyko stwarzane przez te wyrafinowane i ukierunkowane ataki phishingowe.