Computer Security Предупреждение о мошенничестве! Киберпреступники...

Предупреждение о мошенничестве! Киберпреступники используют сбой в работе CrowdStrike, исправляя обновления, содержащие вредоносное ПО

После сбоя CrowdStrike на прошлой неделе киберпреступники воспользовались возможностью запустить волну социальных инженерных атак, направленных на клиентов поставщика средств безопасности . За этим событием, которое нарушило авиаперелеты, закрыло магазины и затронуло медицинские учреждения, последовал всплеск фишинговой активности, о которой сообщили национальные агентства кибербезопасности в США, Великобритании, Канаде и Австралии.

По словам Луиджи Ленгито, генерального директора BforeAI, эти атаки после CrowdStrike заметно более результативны и целенаправленны по сравнению с типичными атаками, которые следуют за крупными новостными событиями. «Во время атаки на Трампа на прошлой неделе мы увидели в первый день всплеск 200 связанных киберугроз, который затем снизился до 40-50 в день», — отметил Ленгуито. «Здесь вы видите всплеск, который в три раза больше. Мы наблюдаем от 150 до 300 атак в день, что не является обычным объемом для атак, связанных с новостями».

Профиль мошенничества на тему CrowdStrike

Стратегия этих мошенничеств ясна: поскольку пользователи многих крупных корпораций не могут подключиться к сервисам CrowdStrike, киберпреступники используют эту уязвимость. Целенаправленный характер этих атак отличает их от других тематических мошенничеств, например, связанных с политическими событиями. Жертвы зачастую более технически подкованы и осведомлены о кибербезопасности.

Злоумышленники выдавали себя за CrowdStrike, соответствующую техническую поддержку или даже конкурирующие компании, предлагающие свои собственные «исправления». Появились домены для фишинга и тайпсквоттинга, такие как Crowdstrikefix[.]com, Crowdstrikeupdate[.]com и www.microsoftcrowdstrike[.]com; выявлено более 2000 таких доменов.

Эти домены используются для распространения вредоносного ПО, включая ZIP-файл, выдающий себя за исправление, содержащее HijackLoader (также известный как IDAT Loader), который впоследствии загружает RemCos RAT. Впервые об этом файле сообщили из Мексики, и он содержал имена файлов на испанском языке, что предполагает ориентацию на клиентов CrowdStrike в Латинской Америке.

В другом случае злоумышленники отправили фишинговое электронное письмо с плохо оформленным вложением в формате PDF. PDF-файл содержал ссылку для загрузки ZIP-файла с исполняемым файлом. При запуске экзешник запросил разрешение на установку обновления, которое оказалось вайпером. Ответственность взяла на себя поддерживающая ХАМАС группа хактивистов «Хандала», заявив, что в результате «десятки» израильских организаций потеряли несколько терабайт данных.

Защита от этих угроз

Организации могут защитить себя, внедряя черные списки, используя защитные инструменты DNS и гарантируя, что они обращаются за поддержкой только к официальному веб-сайту CrowdStrike и каналам обслуживания клиентов. Ленгито предполагает, что всплеск атак все еще находится на ранней стадии, но, вероятно, снизится в ближайшие недели. «Как правило, эти кампании длятся две-три недели», - заметил он.

Сохраняя бдительность и полагаясь на проверенные источники технической поддержки, организации могут снизить риски, связанные с этими сложными и целенаправленными фишинговыми атаками.

Загрузка...