Crowdstrike: Κυβερνοεγκληματίες εκμεταλλεύονται τον πανικό που προκλήθηκε από το τεχνικό λάθος – Πως οργάνωσαν τις επιθέσεις τους
Οι εγκληματίες του κυβερνοχώρου αξιοποιούν τη συνεχιζόμενη μαζική παγκόσμια διακοπή των πληροφοριακών συστημάτων, που έγινε μετά από τεχνικό λάθος της Crowdstrike, για να ξεκινήσουν εκστρατείες phishing, σύμφωνα με αναφορές.
Η CrowdStrike Intelligence προειδοποίησε ότι οι φορείς απειλών χρησιμοποίησαν γρήγορα τη διακοπή πληροφοριακών συστημάτων, που προκλήθηκε από ένα σφάλμα σε μια ενημέρωση περιεχομένου για το εργαλείο κυβερνοασφάλειας CrowdStrike Falcon, για να παρουσιαστούν ως νόμιμες πηγές βοήθειας για τις επηρεαζόμενες επιχειρήσεις.
Έχουν εντοπιστεί εγκληματίες στον κυβερνοχώρο που στέλνουν μηνύματα ηλεκτρονικού “ψαρέματος” που υποτίθεται ότι είναι υποστήριξη της CrowdStrike και υποδύονται το προσωπικό της σε τηλεφωνικές κλήσεις.
Σε άλλες εκστρατείες, οι παράγοντες απειλών παρουσιάζονται ως ανεξάρτητοι ερευνητές, ισχυριζόμενοι ότι έχουν αποδείξεις ότι το τεχνικό ζήτημα συνδέεται με μια κυβερνοεπίθεση και προσφέροντας πληροφορίες αποκατάστασης.
Το κόλπο των κυβερνοεγκληματιών
Επιτιθέμενοι έχουν επίσης παρατηρηθεί να πωλούν λύσεις αποκατάστασης, όπως σενάρια που ισχυρίζονται ότι αυτοματοποιούν την ανάκτηση από το ζήτημα της ενημέρωσης περιεχομένου. Σε ένα παράδειγμα που επισημάνθηκε από το CrowdStrike, οι φορείς απειλών διανέμουν ένα κακόβουλο αρχείο ZIP με το όνομα crowdstrike-hotfix.zip, ισχυριζόμενοι ότι είναι ένα βοηθητικό πρόγραμμα για την αυτοματοποίηση της ανάκτησης για το ζήτημα ενημέρωσης περιεχομένου.
Αυτό το αρχείο ZIP περιέχει ένα πρόγραμμα πληρωμών HijackLoader, το οποίο όταν εκτελείται, φορτώνει το κακόβουλο λογισμικό RemCos.
Το CrowdStrike παρείχε μια λίστα με αναγνωρισμένους τομείς που πλαστοπροσωπούν την επωνυμία, οι οποίοι είτε λειτουργούν επί του παρόντος ως κακόβουλοι ιστότοποι για να ανακατευθύνουν τα θύματα από συνδέσμους phishing είτε θα μπορούσαν να χρησιμοποιηθούν για να το κάνουν στο μέλλον.
Η αύξηση των απειλών phising μετά την τεχνική βλάβη
Η εταιρεία κυβερνοασφάλειας KnowBe4 παρατήρησε παρομοίως την ανάπτυξη πολλών νέων τομέων που συνδέονται με το CrowdStrike σε «χρόνο ρεκόρ». Αυτά περιελάμβαναν ονόματα όπως crowdstriketoken[.]com, crowdstrikedown[.]site και crowdstrikefix[.]com.
Το Εθνικό Κέντρο Ασφάλειας Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) ανέφερε επίσης αύξηση των επιθέσεων phishing αναφέροντας τη διακοπή λειτουργίας αμέσως μετά.
Συνιστάται στους επηρεαζόμενους πελάτες να διασφαλίζουν ότι επικοινωνούν με τους εκπροσώπους της CrowdStrike μέσω επίσημων καναλιών και να συμμορφώνονται με τις τεχνικές οδηγίες από τις ομάδες υποστήριξης της CrowdStrike.
