CrowdStrike Scam

CrowdStrike, відома фірма з кібербезпеки, 19 липня 2024 року ненавмисно викликала масові збої системи через помилкове оновлення Windows. Ця технічна несправність не лише порушила роботу, але й відкрила вікно можливостей для кіберзлочинців використовувати вразливі системи для загрозливих дій.

Розповсюдження зловмисного ПЗ через підроблені оновлення

Одним із основних методів, які використовували кіберзлочинці, було розповсюдження зловмисного програмного забезпечення, замаскованого під законні оновлення CrowdStrike. Ці шахрайські оновлення включали:

1. The Remcos RAT, націлена на клієнтів банку BBVA : Цільова кампанія, націлена на клієнтів банку BBVA, використовувала підроблене оновлення CrowdStrike HotFix. Замасковане як важливе технічне обслуговування програмного забезпечення, це оновлення натомість інсталювало троян Remcos Remote Access Trojan (RAT) . Це зловмисне програмне забезпечення забезпечує несанкціонований віддалений доступ до заражених комп’ютерів, сприяючи шпигунству, крадіжці даних і подальшій компрометації конфіденційних систем.
2. Очищення даних за допомогою фішингових електронних листів : в іншому випадку кіберзлочинці розповсюдили електронні листи, видаючи себе за оновлення CrowdStrike. У цих електронних листах одержувачам було наказано завантажити ZIP-файл, який нібито містить необхідне оновлення безпеки. Однак у файлі насправді містилося шкідливе програмне забезпечення для стирання даних. Очищувачі даних призначені для безповоротного видалення або пошкодження даних уражених систем, що спричиняє серйозні наслідки для роботи та втрати даних для жертв.

Схеми використання інциденту

Скориставшись хаосом, спричиненим помилкою оновлення CrowdStrike, шахраї запускали різні шахрайські схеми:

• Підроблені токени криптовалюти: шахраї рекламували фіктивні токени, як-от $CROWDSTRIKE або $CROWDSTROKE, спонукаючи нічого не підозрюючих осіб розголошувати особисту інформацію або переказувати криптовалюту під приводом.
• Компенсаційні пропозиції: видаючи себе за законних організацій, шахраї пропонують компенсацію постраждалим користувачам. Ці пропозиції мали на меті змусити жертв розкрити конфіденційну інформацію, оплатити неіснуючі послуги або надати віддалений доступ до своїх комп’ютерів. Такі дії можуть призвести до додаткових заражень зловмисним програмним забезпеченням, фінансових втрат і витоку даних.

Канали та методи збуту

Шахраї використовували різноманітні канали та оманливі методи для поширення своїх схем:

• Фішингові електронні листи : широко розповсюджувалися підроблені електронні листи з оновленнями CrowdStrike, які використовували довіру до законних оновлень програмного забезпечення, щоб обманом одержувачів змусити їх завантажити зловмисне програмне забезпечення.

• Підроблені веб-сайти та соціальна інженерія : шахраї створювали підроблені веб-сайти, схожі на законні служби або інтранет-портали (наприклад, BBVA Intranet), обманом змушуючи користувачів установити шкідливе програмне забезпечення.

• Зламані облікові записи в соціальних мережах : шахрайські оновлення також поширювалися через скомпрометовані облікові записи на таких платформах, як X (раніше Twitter), залучаючи широку аудиторію для поширення шкідливих посилань і вмісту.

Інцидент, пов’язаний з помилковим оновленням CrowdStrike, підкреслив критичну потребу в надійних заходах кібербезпеки та пильності користувачів. Кіберзлочинці швидко скористалися збоєм, викликаним помилкою оновлення, розгорнувши складне шкідливе програмне забезпечення та організувавши шахрайські схеми. Користувачі та організації повинні бути пильними щодо спроб фішингу, підозрілих електронних листів і оманливих онлайн-тактик, щоб зменшити ризик стати жертвою таких небезпечних дій. Зусилля законних організацій, як-от випуск справжнього виправлення корпорацією Майкрософт, мають ключове значення для пом’якшення наслідків таких інцидентів і відновлення довіри до заходів цифрової безпеки.