Cyberprzestępcy wykorzystujący okazję stanowią najpilniejsze, bezpośrednie zagrożenie wynikające z awaria Microsoftu z 19 lipcaktóry spowodował awarię milionów komputerów na całym świecie w wyniku błędu popełnionego w firmie zajmującej się cyberbezpieczeństwem CrowdStrike podczas aktualizacji, ostrzegają agencje bezpieczeństwa.
Jak wielokrotnie obserwowaliśmy na przestrzeni lat, złośliwi aktorzy gwałtownie wykorzystywali ważne wydarzenia – w niedawnej historii były to wybory powszechne w Wielkiej Brytanii w 2024 r., kryzys kosztów utrzymania, którego doświadczyliśmy w ciągu ostatnich kilku lat, a także pandemia COVID-19 w 2020 i 2021 r. Wszystkie te wydarzenia zostały gwałtownie wykorzystane w ten sposób.
Wielka Brytania Narodowe Centrum Cyberbezpieczeństwa (NCSC) stwierdziło, iż chociaż przyznało, iż przerwy w dostawie prądu nie były wynikiem incydentu bezpieczeństwa ani złośliwej działalności, organizacje przez cały czas powinny zachować wzmożoną czujność.
„Zaobserwowano już wzrost liczby phishingu odnoszącego się do tej awarii, ponieważ oportunistyczni złośliwi aktorzy starają się wykorzystać sytuację. Może to być skierowane zarówno do organizacji, jak i osób fizycznych” – stwierdziła NCSC w oświadczeniu.
„Organizacje powinny przejrzyj wytyczne NCSC, aby upewnić się, iż wielowarstwowe środki zaradcze przed phishingiem obowiązują, a osoby prywatne powinny zachować czujność w przypadku podejrzanych wiadomości e-mail lub wiadomości na ten temat i wiedzieć, czego szukać.”
Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) powtórzyła ostrzeżenia NCSC: „Aktorzy cyberzagrożeń przez cały czas wykorzystują awarię do prowadzenia złośliwych działań, w tym prób phishingu. CISA przez cały czas ściśle współpracuje z CrowdStrike i innymi partnerami z sektora prywatnego i rządowego, aby aktywnie monitorować wszelkie pojawiające się złośliwe działania”.
Australijskie Centrum Cyberbezpieczeństwa (ACSC) poinformowało, iż otrzymuje zgłoszenia o podejrzanej aktywności.[We] „Rozumiemy, iż publikowanych jest wiele złośliwych stron internetowych i nieoficjalnego kodu, które rzekomo pomagają podmiotom w odzyskaniu sprawności po powszechnych awariach spowodowanych incydentem technicznym CrowdStrike” – czytamy w oświadczeniu.
Naukowcy z ReliaQuest powiedział, iż cyberprzestępcy działający na podstawie motywacji finansowej z pewnością wykorzystają zamieszanie i obawy, aby w nadchodzących dniach i tygodniach przeprowadzić ukierunkowane ataki na osoby i organizacje.
„Mogą… prowadzić kampanie phishingowe, aby nakłonić użytkowników do pobrania złośliwego systemu i naruszenia ich danych uwierzytelniających” – napisał zespół w poradnikowym wpisie na blogu.
„Co więcej, mogą wykonywać ataki socjotechniczne, podszywając się pod pracowników IT, aby oszukiwać i manipulować ofiarami… Istnieje wiele innych sposobów, w jakie atakujący mogą wykorzystać sytuację. Organizacje muszą rozpoznać to zwiększone zagrożenie i ściśle przestrzegać oficjalnych porad dotyczących naprawy, aby zabezpieczyć się przed tymi oportunistycznymi atakami”.
Zespół ReliaQuest poinformował również, iż co najmniej jedna osoba próbowała wziąć na siebie odpowiedzialność za incydent na forum w darknecie. Gdy jednak nie udało jej się przedstawić moderatorom forum dowodów na poparcie swoich twierdzeń, została wyrzucona i zbanowana.
CrowdStrike potwierdza, iż w obiegu są fałszywe aktualizacje
Firma CrowdStrike poinformowała, iż sama wykryła kilka przypadków krążącego złośliwego kodu, w tym złośliwe archiwum ZIP o nazwie crowdstrike-hotfix.zip.
Według zespołu CrowdStrike Intelligencedo tego archiwum dołączono instrukcje w języku hiszpańskim, które sugerują, iż jego zawartość stanowi narzędzie, które zautomatyzuje odzyskiwanie danych w przypadku problemu z aktualizacją treści.
W rzeczywistości archiwum zawiera ładunek HijackLoader, który po uruchomieniu ładuje Trojan zdalnego dostępu Remcos (RAT)Archiwum zostało po raz pierwszy przesłane do internetowej usługi skanowania złośliwego systemu przez osobę z siedzibą w Meksyku 19 lipca, najwyraźniej podczas trwania przerw w dostawie prądu.
Firma dodała, iż zaobserwowała również wzrost liczby fałszywych domen „typo-squattingowych”, których celem jest wyłapywanie błędów ortograficznych popełnianych przez użytkowników podczas wpisywania w przeglądarce internetowej słowa CrowdStrike.
„CrowdStrike Intelligence zaleca organizacjom, aby komunikowały się z przedstawicielami CrowdStrike za pośrednictwem oficjalnych kanałów i stosowały się do wytycznych technicznych udostępnianych przez zespoły wsparcia CrowdStrike” – stwierdziła firma CrowdStrike Intelligence.
