Cyberbezpieczeństwo
Cyberprzestępcy korzystają z awarii CrowdStrike. Malware i wiper w mailach
Autor. FlyD/Unsplash
Piątkowa awaria CrowdStrike spowodowała gigantyczne zamieszanie na całym świecie. Oprócz wielu podmiotów, które połączyły siły z dostawcą oprogramowania Falcon w celu eliminacji skutków błędu, do akcji ruszyli również cyberprzestępcy.
Takiego incydentu z dziedziny IT dotąd w historii nie odnotowano. Jak opisywaliśmy na łamach naszego portalu, w godzinach porannych w miniony piątek firma CrowdStrike opublikowała aktualizację dla oprogramowania Falcon.
Jednakże, z powodu zawartego w niej błędu, 8,5 mln komputerów z systemem Windows na całym świecie przestało w ogóle się uruchamiać. Spowodowało to zamieszanie w wielu częściach globu, zarówno w bankowości, jak i w transporcie lotniczym czy morskim.
Czytaj też
Awaria CrowdStrike. Cyberprzestępcy korzystają z zamieszania
Nietrudno było się domyślić, że okazja zostanie wykorzystana przez cyberprzestępców. Jak podaje serwis BleepingComputer, o wzroście zagrożenia ze strony oszustów informowała badająca malware platforma AnyRun, jak również brytyjskie National Cyber Security Center. Przed potencjalnymi atakami ostrzegał sam CEO CrowdStrike, George Kurtz.
Atakujący postanowili ucharakteryzować szkodliwe pliki jako aktualizację dla oprogramowania CrowdStrike Falcon. Pierwsze doniesienia pojawiły się w sobotę – celem ataku stał się hiszpański bank BBVA z Bilbao. W wiadomościach zawarto link, który umożliwiał pobranie ze spreparowanej strony archiwum z plikiem .exe. Zamiast aktualizacji, na komputerze ofiary instalowany był Hijack Loader oraz Remcos RAT.
#Remcos RAT being delivered as a fake Crowdstrike Hotfix, targeting @bbva bank
— Who said what (@g0njxa) July 20, 2024
from: /portalintranetgrupobbva.com
Delivered via Dropbox
C2: 213.5.130.58:443
Detonation:https://t.co/6kt15AWD36 pic.twitter.com/49dXSEvqto
Wiper zamiast aktualizacji
Organizacja AnyRun zwróciła również uwagę na inny przypadek ataku. Podszywający się pod CrowdStrike atakujący z grupy haktywistów Handala, rozsyłali pliki PDF, które informowały o konieczności ściągnięcia „aktualizacji”.
🚨 When seeking a fix users affected by the #outage can destroy their entire system.
— ANY.RUN (@anyrun_app) July 20, 2024
Attackers are now distributing a data #wiper disguised as #CrowdStrike update. It decimates the system by overwriting files with zero bytes and then reports it over #Telegram.
See the… pic.twitter.com/ZYuYZUSWfB
Jednakże zamiast domniemanego naprawienia problemu, plik Crowdstrike.exe w rzeczywistości czyści wszystkie znajdujące się na dyskach dane, zastępując je zerami. Efekt pracy jest następnie przekazywany hakerom za pośrednictwem komunikatora Telegram.
Najważniejsza lekcja niezmiennie pozostaje ta sama. Nie należy pobierać jakichkolwiek plików pochodzących z niezweryfikowanych źródeł, nawet jeżeli jest to wiadomość e-mail rzekomo pochodząca od zaufanej organizacji – warto sprawdzić nagłówki takich wiadomości. Przede wszystkim, w takich sytuacjach kryzysowych jak piątkowa awaria, należy korzystać z oficjalnych kanałów komunikacji danego podmiotu.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
