Paralajmërim për mashtrim! Kriminelët kibernetikë shfrytëzojnë ndërprerjen e CrowdStrike me përditësime të rregulluara që përmbajnë malware
Në vazhdën e ndërprerjes së javës së kaluar në CrowdStrike , kriminelët kibernetikë kanë shfrytëzuar mundësinë për të nisur një valë sulmesh inxhinierike sociale që synojnë klientët e shitësit të sigurisë . Kjo ngjarje, e cila ndërpreu udhëtimin ajror, mbylli dyqanet dhe preku objektet mjekësore, është pasuar nga një rritje e aktiviteteve të phishing të raportuara nga agjencitë kombëtare të sigurisë kibernetike në SHBA, MB, Kanada dhe Australi.
Sipas Luigi Lenguito, CEO i BforeAI, këto sulme pas CrowdStrike janë dukshëm më pjellore dhe më të synuara në krahasim me sulmet tipike që ndjekin ngjarjet kryesore të lajmeve. "Në sulmin javën e kaluar ndaj Trump, ne pamë një rritje në ditën e parë të 200 kërcënimeve kibernetike të lidhura, të cilat më pas u rrafshuan në 40-50 në ditë," vuri në dukje Lenguito. "Këtu, ju po shikoni në një pikë që është tre herë më e madhe. Ne po shohim rreth 150 deri në 300 sulme në ditë, që nuk është vëllimi normal për sulmet e lidhura me lajmet."
Profili i një mashtrimi me temë CrowdStrike
Strategjia pas këtyre mashtrimeve është e qartë: me shumë përdorues të korporatave të mëdha të paaftë për t'u lidhur me shërbimet e CrowdStrike, kriminelët kibernetikë e shfrytëzojnë këtë dobësi. Natyra e synuar e këtyre sulmeve i dallon ato nga mashtrimet e tjera me tematikë, si ato që lidhen me ngjarjet politike. Viktimat shpesh janë më të aftë teknikisht dhe më të ditur për sigurinë kibernetike.
Sulmuesit kanë imituar CrowdStrike, mbështetjen teknike të lidhur, apo edhe kompanitë konkurruese që ofrojnë "ndreqjet" e tyre. Domenet e phishing dhe typosquatting si crowdstrikefix[.]com, crowdstrikeupdate[.]com dhe www.microsoftcrowdstrike[.]com janë shfaqur, me mbi 2000 domene të tilla të identifikuara.
Këto domene janë duke u përdorur për të shpërndarë malware, duke përfshirë një skedar ZIP që paraqitet si një rregullim i drejtpërdrejtë që përmban HijackLoader (i njohur gjithashtu si IDAT Loader), i cili më pas ngarkon RemCos RAT. Ky skedar u raportua fillimisht nga Meksika dhe përfshinte emra skedarësh në gjuhën spanjolle, duke sugjeruar një fokus te klientët e CrowdStrike në Amerikën Latine.
Në një rast tjetër, sulmuesit dërguan një email phishing me një shtojcë PDF të dizajnuar keq. PDF përmbante një lidhje për të shkarkuar një skedar ZIP me një skedar të ekzekutueshëm. Kur u nis, ekzekutuesi kërkoi leje për të instaluar një përditësim, i cili doli të ishte një fshirës. Grupi hakktivist pro-Hamasit "Handala" mori përgjegjësinë, duke deklaruar se "dhjetra" organizata izraelite kishin humbur disa terabajt të dhëna si rezultat.
Mbrojtja kundër këtyre kërcënimeve
Organizatat mund të mbrohen duke zbatuar lista bllokimi, duke përdorur mjete mbrojtëse DNS dhe duke u siguruar që kërkojnë mbështetje vetëm nga faqja zyrtare e internetit e CrowdStrike dhe kanalet e shërbimit ndaj klientit. Lenguito sugjeron se rritja e sulmeve është ende në fazat e hershme, por ka të ngjarë të zvogëlohet gjatë javëve të ardhshme. "Përgjithësisht, këto fushata zgjasin dy deri në tre javë," vuri në dukje ai.
Duke qëndruar vigjilentë dhe duke u mbështetur në burime të verifikuara për mbështetje teknike, organizatat mund të zbusin rreziqet e paraqitura nga këto sulme të sofistikuara dhe të synuara të phishing.