Reklama

Cyberbezpieczeństwo

Cyberprzestępcy korzystają z awarii CrowdStrike. Malware i wiper w mailach

Po ponad 24 godzinach od awarii CrowdStrike, pojawiły się doniesienia o atakach phishingowych wykorzystujących powstałe zamieszanie. Jak konkretnie wyglądały?
Po ponad 24 godzinach od awarii CrowdStrike, pojawiły się doniesienia o atakach phishingowych wykorzystujących powstałe zamieszanie. Jak konkretnie wyglądały?
Autor. FlyD/Unsplash

Piątkowa awaria CrowdStrike spowodowała gigantyczne zamieszanie na całym świecie. Oprócz wielu podmiotów, które połączyły siły z dostawcą oprogramowania Falcon w celu eliminacji skutków błędu, do akcji ruszyli również cyberprzestępcy.

Takiego incydentu z dziedziny IT dotąd w historii nie odnotowano. Jak opisywaliśmy na łamach naszego portalu, w godzinach porannych w miniony piątek firma CrowdStrike opublikowała aktualizację dla oprogramowania Falcon

Jednakże, z powodu zawartego w niej błędu, 8,5 mln komputerów z systemem Windows na całym świecie przestało w ogóle się uruchamiać. Spowodowało to zamieszanie w wielu częściach globu, zarówno w bankowości, jak i w transporcie lotniczym czy morskim.

Czytaj też

Reklama

Awaria CrowdStrike. Cyberprzestępcy korzystają z zamieszania

Nietrudno było się domyślić, że okazja zostanie wykorzystana przez cyberprzestępców. Jak podaje serwis BleepingComputer, o wzroście zagrożenia ze strony oszustów informowała badająca malware platforma AnyRun, jak również brytyjskie National Cyber Security Center. Przed potencjalnymi atakami ostrzegał sam CEO CrowdStrike, George Kurtz.

Atakujący postanowili ucharakteryzować szkodliwe pliki jako aktualizację dla oprogramowania CrowdStrike Falcon. Pierwsze doniesienia pojawiły się w sobotę – celem ataku stał się hiszpański bank BBVA z Bilbao. W wiadomościach zawarto link, który umożliwiał pobranie ze spreparowanej strony archiwum z plikiem .exe. Zamiast aktualizacji, na komputerze ofiary instalowany był Hijack Loader oraz Remcos RAT.

Reklama

Wiper zamiast aktualizacji

Organizacja AnyRun zwróciła również uwagę na inny przypadek ataku. Podszywający się pod CrowdStrike atakujący z grupy haktywistów Handala, rozsyłali pliki PDF, które informowały o konieczności ściągnięcia „aktualizacji”.

Jednakże zamiast domniemanego naprawienia problemu, plik Crowdstrike.exe w rzeczywistości czyści wszystkie znajdujące się na dyskach dane, zastępując je zerami. Efekt pracy jest następnie przekazywany hakerom za pośrednictwem komunikatora Telegram.

Najważniejsza lekcja niezmiennie pozostaje ta sama. Nie należy pobierać jakichkolwiek plików pochodzących z niezweryfikowanych źródeł, nawet jeżeli jest to wiadomość e-mail rzekomo pochodząca od zaufanej organizacji – warto sprawdzić nagłówki takich wiadomości. Przede wszystkim, w takich sytuacjach kryzysowych jak piątkowa awaria, należy korzystać z oficjalnych kanałów komunikacji danego podmiotu.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

Reklama
Reklama
Reklama

Komentarze