Upozornenie na podvod! Kyberzločinci využívajú výpadok CrowdStrike s opravnými aktualizáciami obsahujúcimi malvér
Po minulotýždňovom výpadku CrowdStrike sa kyberzločinci chopili príležitosti spustiť vlnu útokov sociálneho inžinierstva zameraných na zákazníkov dodávateľa zabezpečenia . Po tejto udalosti, ktorá narušila leteckú dopravu, zatvorili obchody a ovplyvnila zdravotnícke zariadenia, nasledoval prudký nárast phishingových aktivít hlásených národnými agentúrami pre kybernetickú bezpečnosť v USA, Spojenom kráľovstve, Kanade a Austrálii.
Podľa Luigiho Lenguita, generálneho riaditeľa BforeAI, sú tieto útoky po CrowdStrike výrazne plodnejšie a cielenejšie v porovnaní s typickými útokmi, ktoré nasledujú po hlavných spravodajských udalostiach. "Pri útoku na Trumpa minulý týždeň sme v prvý deň zaznamenali prudký nárast 200 súvisiacich kybernetických hrozieb, ktoré sa potom znížili na 40 až 50 denne," poznamenal Lenguito. "Tu sa pozeráte na vrchol, ktorý je trikrát väčší. Vidíme asi 150 až 300 útokov denne, čo nie je bežný objem útokov súvisiacich so správami."
Profil podvodu s tematikou CrowdStrike
Stratégia týchto podvodov je jasná: keďže používatelia mnohých veľkých korporácií sa nedokážu pripojiť k službám CrowdStrike, kyberzločinci využívajú túto zraniteľnosť. Cielený charakter týchto útokov ich odlišuje od iných tematických podvodov, ako sú tie, ktoré súvisia s politickými udalosťami. Obete sú často technicky zdatnejšie a informovanejšie o kybernetickej bezpečnosti.
Útočníci sa vydávali za CrowdStrike, súvisiacu technickú podporu alebo dokonca konkurenčné spoločnosti ponúkajúce svoje vlastné „opravy“. Objavili sa phishingové a typosquattingové domény ako crowdstrikefix[.]com, crowdstrikeupdate[.]com a www.microsoftcrowdstrike[.]com, pričom bolo identifikovaných viac ako 2 000 takýchto domén.
Tieto domény sa používajú na distribúciu škodlivého softvéru vrátane súboru ZIP, ktorý sa tvári ako rýchla oprava, ktorá obsahuje HijackLoader (známy aj ako IDAT Loader), ktorý následne načíta RemCos RAT. Tento súbor bol prvýkrát nahlásený z Mexika a obsahoval názvy súborov v španielskom jazyku, čo naznačuje zameranie sa na zákazníkov CrowdStrike v Latinskej Amerike.
V inom prípade útočníci poslali phishingový e-mail so zle navrhnutou prílohou PDF. PDF obsahovalo odkaz na stiahnutie súboru ZIP so spustiteľným súborom. Po spustení spustiteľný súbor požiadal o povolenie na inštaláciu aktualizácie, čo sa ukázalo ako stierač. K zodpovednosti sa prihlásila pro-Hamasská hacktivistická skupina „Handala“, ktorá uviedla, že „desiatky“ izraelských organizácií v dôsledku toho stratili niekoľko terabajtov údajov.
Ochrana pred týmito hrozbami
Organizácie sa môžu chrániť implementáciou blokových zoznamov, používaním ochranných nástrojov DNS a zabezpečením, že budú hľadať podporu iba na oficiálnych webových stránkach CrowdStrike a kanáloch služieb zákazníkom. Lenguito naznačuje, že nárast útokov je stále v počiatočnom štádiu, ale v priebehu nasledujúcich týždňov sa pravdepodobne zníži. "Vo všeobecnosti tieto kampane trvajú dva až tri týždne," poznamenal.
Tým, že organizácie zostanú ostražité a spoliehajú sa na overené zdroje technickej podpory, môžu zmierniť riziká, ktoré predstavujú tieto sofistikované a cielené phishingové útoky.