แจ้งเตือนการหลอกลวง! อาชญากรไซเบอร์ใช้ประโยชน์จาก CrowdStrike Outage ด้วยการอัปเดตแก้ไขที่มีมัลแวร์
หลังจาก การหยุดทำงานของ CrowdStrike เมื่อสัปดาห์ที่แล้ว อาชญากรไซเบอร์ได้คว้าโอกาสในการเปิดตัวการโจมตีทางวิศวกรรมสังคมที่มุ่งเป้าไปที่ ลูกค้าของผู้จำหน่ายความปลอดภัย เหตุการณ์นี้ ซึ่งขัดขวางการเดินทางทางอากาศ ร้านค้าที่ปิด และส่งผลกระทบต่อสถานพยาบาล ตามมาด้วยกิจกรรมฟิชชิ่งที่เพิ่มสูงขึ้นซึ่งรายงานโดยหน่วยงานรักษาความปลอดภัยทางไซเบอร์ระดับชาติในสหรัฐอเมริกา สหราชอาณาจักร แคนาดา และออสเตรเลีย
จากข้อมูลของ Luigi Lenguito ซีอีโอของ BforeAI การโจมตีหลังเหตุการณ์ CrowdStrike เหล่านี้มีประสิทธิภาพและตรงเป้าหมายมากกว่าการโจมตีทั่วไปที่ติดตามเหตุการณ์ข่าวสำคัญ “ในการโจมตีทรัมป์เมื่อสัปดาห์ที่แล้ว เราเห็นภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องเพิ่มขึ้นอย่างรวดเร็วในวันแรก 200 รายการ ซึ่งต่อมาก็ลดลงเหลือ 40-50 รายการต่อวัน” Lenguito กล่าว “ที่นี่ คุณกำลังดูการเพิ่มขึ้นอย่างรวดเร็วถึงสามเท่า เราเห็นการโจมตีประมาณ 150 ถึง 300 ครั้งต่อวัน ซึ่งไม่ใช่ปริมาณปกติสำหรับการโจมตีที่เกี่ยวข้องกับข่าว”
โปรไฟล์ของการหลอกลวงที่มีธีม CrowdStrike
กลยุทธ์เบื้องหลังการหลอกลวงเหล่านี้ชัดเจน เนื่องจากผู้ใช้ในองค์กรขนาดใหญ่จำนวนมากไม่สามารถเชื่อมต่อกับบริการของ CrowdStrike ได้ อาชญากรไซเบอร์จึงใช้ประโยชน์จากช่องโหว่นี้ ลักษณะการกำหนดเป้าหมายของการโจมตีเหล่านี้ทำให้แตกต่างจากการหลอกลวงที่มีธีมอื่นๆ เช่น ที่เกี่ยวข้องกับกิจกรรมทางการเมือง เหยื่อมักจะมีความเชี่ยวชาญทางเทคนิคและมีความรู้เกี่ยวกับความปลอดภัยทางไซเบอร์มากกว่า
ผู้โจมตีแอบอ้างเป็น CrowdStrike การสนับสนุนด้านเทคนิคที่เกี่ยวข้อง หรือแม้แต่บริษัทคู่แข่งที่เสนอ "การแก้ไข" ของตนเอง โดเมนฟิชชิ่งและการพิมพ์ผิด เช่น Crowdstrikefix[.]com, Crowdstrikeupdate[.]com และ www.microsoftcrowdstrike[.]com ได้เกิดขึ้น โดยมีการระบุโดเมนดังกล่าวมากกว่า 2,000 รายการ
โดเมนเหล่านี้ถูกใช้เพื่อเผยแพร่มัลแวร์ รวมถึงไฟล์ ZIP ที่วางเป็นโปรแกรมแก้ไขด่วนที่มี HijackLoader (หรือที่เรียกว่า IDAT Loader) ซึ่งจะโหลด RemCos RAT ในเวลาต่อมา ไฟล์นี้ได้รับการรายงานครั้งแรกจากเม็กซิโกและมีชื่อไฟล์เป็นภาษาสเปน ซึ่งบ่งชี้ว่ามุ่งเน้นไปที่ลูกค้า CrowdStrike ในละตินอเมริกา
ในอีกกรณีหนึ่ง ผู้โจมตีส่งอีเมลฟิชชิ่งพร้อมไฟล์แนบ PDF ที่ออกแบบมาไม่ดี PDF มีลิงก์สำหรับดาวน์โหลดไฟล์ ZIP พร้อมไฟล์ปฏิบัติการ เมื่อเปิดตัว ปฏิบัติการจะขออนุญาตเพื่อติดตั้งการอัปเดต ซึ่งกลายเป็นที่ปัดน้ำฝน กลุ่มแฮ็กทีวิสต์ที่สนับสนุนฮามาส "Handala" ออกมาอ้างความรับผิดชอบ โดยระบุว่าองค์กรอิสราเอล "หลายสิบแห่ง" สูญเสียข้อมูลไปหลายเทราไบต์
การป้องกันภัยคุกคามเหล่านี้
องค์กรสามารถป้องกันตนเองได้โดยการใช้รายการบล็อก การใช้เครื่องมือ DNS ที่มีการป้องกัน และสร้างความมั่นใจว่าพวกเขา จะขอรับการสนับสนุนจากเว็บไซต์อย่างเป็นทางการของ CrowdStrike และช่องทางการบริการลูกค้าเท่านั้น Lenguito ชี้ให้เห็นว่าการโจมตีที่เพิ่มขึ้นยังอยู่ในช่วงเริ่มต้น แต่มีแนวโน้มที่จะลดลงในอีกไม่กี่สัปดาห์ข้างหน้า "โดยทั่วไป แคมเปญเหล่านี้จะใช้เวลาสองถึงสามสัปดาห์" เขาตั้งข้อสังเกต
ด้วยการเฝ้าระวังและอาศัยแหล่งข้อมูลที่ได้รับการตรวจสอบแล้วสำหรับการสนับสนุนทางเทคนิค องค์กรต่างๆ จึงสามารถลดความเสี่ยงที่เกิดจากการโจมตีแบบฟิชชิ่งที่ซับซ้อนและกำหนดเป้าหมายได้