Prevara CrowdStrike
CrowdStrike, ugledno podjetje za kibernetsko varnost, je 19. julija 2024 nenamerno sprožilo razširjene izpade sistema z napačno posodobitvijo sistema Windows. Ta tehnična nesreča ni samo prekinila delovanja, ampak je tudi kibernetskim kriminalcem odprla priložnost, da izkoristijo ranljive sisteme za ogrožajoče dejavnosti.
Kazalo
Distribucija zlonamerne programske opreme prek lažnih posodobitev
Ena od glavnih metod, ki so jih uporabljali kiberkriminalci, je bila distribucija zlonamerne programske opreme, prikrite kot zakonite posodobitve CrowdStrike. Te goljufive posodobitve so vključevale:
- Remcos RAT cilja na stranke banke BBVA : Ciljna kampanja, namenjena strankam banke BBVA, je uporabila lažno posodobitev hitrega popravka CrowdStrike. Ta posodobitev, prikrita kot bistveno vzdrževanje programske opreme, je namesto tega namestila trojanca Remcos Remote Access Trojan (RAT) . Ta zlonamerna programska oprema omogoča nepooblaščen oddaljen dostop do okuženih računalnikov, omogoča vohunjenje, krajo podatkov in nadaljnje ogrožanje občutljivih sistemov.
- Brisanje podatkov prek e-poštnih sporočil z lažnim predstavljanjem : v drugem primeru so kiberkriminalci razdelili e-poštna sporočila, ki so se predstavljala kot posodobitve CrowdStrike. Ta e-poštna sporočila so prejemnikom naročila, naj prenesejo datoteko ZIP, ki naj bi vsebovala potreben varnostni popravek. Vendar je datoteka dejansko vsebovala zlonamerno programsko opremo za brisanje podatkov. Brisalci podatkov so zasnovani tako, da nepovratno izbrišejo ali poškodujejo podatke v prizadetih sistemih, kar povzroči resne posledice pri delovanju in izgubi podatkov za žrtve.
Sheme, ki izkoriščajo incident
Goljufi so izkoristili kaos, ki ga je povzročila napaka pri posodobitvi CrowdStrike, in uvedli različne goljufive sheme:
- Lažni žetoni kriptovalut: Goljufi so promovirali fiktivne žetone, kot sta $CROWDSTRIKE ali $CROWDSTROKE, s čimer so nič hudega sluteče posameznike napeljali k razkritju osebnih podatkov ali prenosu kriptovalute pod pretvezo.
- Ponudbe odškodnine: goljufi z lažnim predstavljanjem za zakonite subjekte prizadetim uporabnikom ponujajo odškodnino. Namen teh ponudb je bil pretentati žrtve v razkritje občutljivih informacij, plačilo za neobstoječe storitve ali odobritev oddaljenega dostopa do njihovih računalnikov. Takšna dejanja lahko povzročijo dodatne okužbe z zlonamerno programsko opremo, finančne izgube in kršitve podatkov.
Distribucijski kanali in tehnike
Goljufi so uporabljali različne kanale in zavajajoče tehnike za širjenje svojih shem:
- E-poštna sporočila z lažnim predstavljanjem : Lažna e-poštna sporočila s posodobitvami CrowdStrike so bila široko razširjena, pri čemer so izkoriščali zaupanje v zakonite posodobitve programske opreme za zavajanje prejemnikov v prenos zlonamerne programske opreme.
- Lažna spletna mesta in družbeni inženiring : Goljufi so ustvarili ponarejena spletna mesta, ki so podobna zakonitim storitvam ali intranetnim portalom (npr. BBVA Intranet), ter uporabnike zavedejo, da namestijo zlonamerno programsko opremo.
- Ogroženi računi v družabnih omrežjih : goljufive posodobitve so bile razširjene tudi prek ogroženih računov na platformah, kot je X (prej Twitter), s čimer so izkoristili široko občinstvo za širjenje zlonamernih povezav in vsebine.
Incident, ki je vključeval napačno posodobitev CrowdStrike, je poudaril kritično potrebo po robustnih ukrepih kibernetske varnosti in budnosti uporabnikov. Kibernetski kriminalci so hitro izkoristili motnjo, ki jo je povzročila napaka pri posodobitvi, z uvedbo sofisticirane zlonamerne programske opreme in orkestriranjem goljufivih shem. Tako uporabniki kot organizacije morajo biti pozorni na poskuse lažnega predstavljanja, sumljiva e-poštna sporočila in zavajajoče spletne taktike, da zmanjšajo tveganje, da bi postali žrtve takšnih nevarnih dejavnosti. Prizadevanja zakonitih subjektov, kot je Microsoftova izdaja pristnega popravka, so ključnega pomena za ublažitev posledic takšnih incidentov in povrnitev zaupanja v digitalne varnostne ukrepe.
