На фоне недавнего сбоя CrowdStrike наблюдается всплеск киберпреступной активности, использующей хаос для проведения атак социальной инженерии против клиентов компании. Инцидент, который нарушил воздушное сообщение, закрыл розничные операции и остановил медицинские услуги, привлек внимание национальных агентств по кибербезопасности в США, Великобритании, Канаде и Австралии. Эти агентства сообщили о значительном увеличении числа фишинговых попыток, что не является редкостью после значимых новостных событий. Однако генеральный директор BforeAI Луиджи Ленгуито подчеркивает, что масштаб и точность этих атак после сбоя CrowdStrike беспрецедентны.
Профиль мошенничества на тему CrowdStrike
Ленгуито подробно объясняет модус операнди этих фишинговых атак на тему CrowdStrike, отмечая, что они особенно коварны из-за их целенаправленного характера. «У нас есть пользователи крупных корпораций, которые потерялись, потому что их компьютеры не могут подключиться к "материнскому кораблю", и теперь они пытаются подключиться. Это идеальная возможность для киберпреступников проникнуть в эти сети», — объясняет он.
В отличие от более широких атак, эти мошенничества направлены на организации, непосредственно пострадавшие от сбоя, и потенциальные жертвы обычно обладают более высоким уровнем технической экспертизы и осведомленности о кибербезопасности. Чтобы получить доступ, злоумышленники выдают себя за саму компанию, предлагая техническую поддержку или даже представляясь конкурирующими фирмами с заманчивыми «решениями».
Доказательства этой злонамеренной активности отражены в распространении фишинговых и типосквоттинговых доменов, зарегистрированных в последние дни, таких как crowdstrikefix[.]com, crowdstrikeupdate[.]com и www.microsoftcrowdstrike[.]com. Один усердный исследователь безопасности выявил более 2000 таких доменов, появившихся на сегодняшний день.
Эти домены могут служить каналами для распространения вредоносного ПО, что подтверждается примером ZIP-файла, маскирующегося под хотфикс, который был загружен в службу сканирования вредоносного ПО на прошлых выходных. Этот ZIP-файл содержал HijackLoader, который впоследствии загружал RemCos RAT. Первоначальный отчет о этом файле поступил из Мексики, а испаноязычные имена файлов указывают на целевую кампанию против клиентов CrowdStrike в Латинской Америке.
В другом случае злоумышленники распространили фишинговое письмо на тему CrowdStrike с плохо оформленным PDF-вложением. Этот PDF содержал ссылку для загрузки ZIP-файла, в котором находился исполняемый файл. После выполнения файл запрашивал у жертвы разрешение на установку обновления, которое оказалось вайпером. Хактивистская группа «Handala» взяла на себя ответственность, утверждая, что многочисленные израильские организации понесли значительные потери данных в результате атаки.
Независимо от используемых методов, Ленгуито советует организациям усилить свою защиту с помощью блок-листов, защитных DNS-инструментов и обеспечения того, чтобы они обращались за технической поддержкой исключительно через официальные каналы CrowdStrike. В качестве альтернативы он предлагает проявить терпение, поскольку эти кампании обычно длятся от двух до трех недель. «Мы все еще на ранней стадии, верно? Вероятно, мы увидим спад в ближайшие недели», — заключает он.