Scam Alert! Cyberbrottslingar utnyttjar CrowdStrike-avbrott med fixuppdateringar som innehåller skadlig programvara
I kölvattnet av förra veckans CrowdStrike-avbrott har cyberbrottslingar tagit tillfället i akt att lansera en våg av social ingenjörsattacker riktade mot säkerhetsleverantörens kunder . Denna händelse, som störde flygresor, stängde butiker och påverkade medicinska anläggningar, har följts av en ökning av nätfiskeaktiviteter som rapporterats av nationella cybersäkerhetsbyråer i USA, Storbritannien, Kanada och Australien.
Enligt Luigi Lenguito, VD för BforeAI, är dessa attacker efter CrowdStrike särskilt mer produktiva och målinriktade jämfört med typiska attacker som följer stora nyhetshändelser. "I attacken förra veckan på Trump såg vi en topp den första dagen av 200 relaterade cyberhot, som sedan planade ut till 40-50 per dag", noterade Lenguito. "Här tittar du på en topp som är tre gånger så stor. Vi ser cirka 150 till 300 attacker per dag, vilket inte är den normala volymen för nyhetsrelaterade attacker."
Profil för en bluff med CrowdStrike-tema
Strategin bakom dessa bedrägerier är tydlig: med många stora företags användare som inte kan ansluta till CrowdStrikes tjänster, utnyttjar cyberbrottslingar denna sårbarhet. Den riktade karaktären hos dessa attacker skiljer dem från andra bedrägerier med tema, till exempel de som är relaterade till politiska händelser. Offren är ofta mer tekniskt skickliga och kunniga om cybersäkerhet.
Angripare har imiterat CrowdStrike, relaterad teknisk support eller till och med konkurrerande företag som erbjuder sina egna "fixar". Nätfiske- och typosquattingdomäner som crowdstrikefix[.]com, crowdstrikeupdate[.]com och www.microsoftcrowdstrike[.]com har dykt upp, med över 2 000 sådana domäner identifierade.
Dessa domäner används för att distribuera skadlig programvara, inklusive en ZIP-fil som utger sig som en snabbkorrigering som innehåller HijackLoader (även känd som IDAT Loader), som sedan laddar RemCos RAT. Den här filen rapporterades först från Mexiko och inkluderade spanskspråkiga filnamn, vilket tyder på fokus på CrowdStrike-kunder i Latinamerika.
I ett annat fall skickade angripare ett nätfiske-e-postmeddelande med en dåligt utformad PDF-bilaga. PDF-filen innehöll en länk för att ladda ner en ZIP-fil med en körbar fil. När den startades bad den körbara filen om tillåtelse att installera en uppdatering, vilket visade sig vara en torkare. Den pro-Hamas hacktivistgruppen "Handala" tog på sig ansvaret och uppgav att "dussintals" israeliska organisationer hade förlorat flera terabyte data som ett resultat.
Skydd mot dessa hot
Organisationer kan skydda sig själva genom att implementera blocklistor, använda skyddande DNS-verktyg och se till att de endast söker stöd från CrowdStrikes officiella webbplats och kundtjänstkanaler. Lenguito antyder att ökningen av attacker fortfarande är i ett tidigt skede men sannolikt kommer att avta under de kommande veckorna. "Generellt pågår dessa kampanjer två till tre veckor", konstaterade han.
Genom att vara vaksam och förlita sig på verifierade källor för teknisk support kan organisationer minska riskerna med dessa sofistikerade och riktade nätfiskeattacker.