I molti volti della truffa CrowdStrike
La sicurezza informatica è fondamentale sia che tu sia costantemente online o utilizzi Internet solo per pagare le bollette. Sfortunatamente, anche le aziende più affidabili possono incontrare problemi che aprono le porte ai criminali informatici. Un recente incidente che ha coinvolto CrowdStrike, una rinomata azienda americana di sicurezza informatica, lo illustra perfettamente. Ecco uno sguardo dettagliato su cosa è successo, come i criminali informatici hanno sfruttato la situazione e come puoi proteggerti.
Table of Contents
Cosa è successo con CrowdStrike?
CrowdStrike è specializzato in servizi di sicurezza degli endpoint, intelligence sulle minacce e risposta agli attacchi informatici. Il 19 luglio 2024, l'azienda ha rilasciato un aggiornamento per i sistemi Windows. Tuttavia, questo aggiornamento conteneva un errore che causava il crash del sistema con il temuto Blue Screen of Death (BSOD). Questo guasto del sistema ha creato una vulnerabilità inaspettata che i criminali informatici hanno subito sfruttato.
Sfruttare l'errore CrowdStrike
Una delle campagne più importanti contro questa vulnerabilità riguardava un falso aggiornamento dell'hotfix CrowdStrike diretto ai clienti della banca BBVA. I criminali informatici creano una pagina di phishing mascherata da portale Intranet BBVA, invitando gli utenti a scaricare un file di archivio dannoso. Questo file conteneva un Trojan di accesso remoto (RAT) noto come Remcos .
Un RAT consente agli aggressori di controllare in remoto un computer infetto, consentendo il keylogging, il trasferimento di file e la sorveglianza. Questo software dannoso è stato promosso tramite istruzioni che invitavano gli utenti a installare l'aggiornamento per evitare errori di rete, compromettendo così i loro sistemi.
E-mail di phishing e data wiper
Un'altra campagna dannosa è emersa tramite e-mail di phishing. I criminali informatici hanno ordinato ai destinatari di scaricare un file ZIP contenente un falso aggiornamento di CrowdStrike. Questo file, tuttavia, conteneva un data wiper, un tipo di malware progettato per cancellare o corrompere in modo permanente i dati su un computer.
Queste e-mail di phishing hanno giocato sulle paure degli utenti, sfruttando l'errore iniziale di aggiornamento di CrowdStrike per indurli a compromettere ulteriormente i loro sistemi.
Ecco il testo dell'e-mail:
Dear Valued Customer
CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This was not a cyberattack.
The issue has been identified, isolated and a fixed has been deployed.
We are referring customers to update their Windows servers as soon as possible through through the attached tool to avoid disruptions!
We further recommend organizations ensure they're communicating with CrowdStrike representatives through official channels.
Our team is fully mobilized to ensure the security and stability of CrowdStrike customers.
We understand the gravity of the situation and are deeply sorry for the inconvenience and disruption. We are working with all impacted customers to ensure that systems are back up and they can deliver the services their customers are counting on.
Obviously, the consequences of any failure to update the system and disruption will be the responsibility of the organization's IT manager.
Truffe di criptovaluta
L'errore CrowdStrike ha anche stimolato una serie di truffe che coinvolgono token di criptovaluta falsi. I truffatori promuovevano token fittizi come $CROWDSTRIKE o $CROWDSTROKE, inducendo con l'inganno le persone a divulgare informazioni sensibili o a trasferire criptovaluta. Queste truffe spesso comportavano perdite finanziarie per le vittime.
Offerte di risarcimento false
Inoltre, i truffatori si sono spacciati per aziende che offrono risarcimenti alle persone colpite dall’errore di aggiornamento di CrowdStrike. Queste offerte fraudolente miravano a estorcere informazioni sensibili, pagamenti per servizi falsi o persino l'accesso ai computer delle vittime. Tali truffe potrebbero portare a ulteriori infezioni, crittografia dei dati e perdite finanziarie.
Tattiche di truffa comuni
I truffatori hanno utilizzato vari canali per prendere di mira gli utenti interessati dall'errore CrowdStrike. E-mail e account di social media compromessi erano metodi comuni, in particolare su X (ex Twitter). Anche le pubblicità ingannevoli e le notifiche provenienti da siti Web non affidabili hanno svolto un ruolo significativo.
Altre strade includevano reti pubblicitarie non autorizzate trovate su pagine di streaming di film illegali e siti torrent, app di messaggistica e SMS, annunci di adware installati e forum online. Questi metodi sono progettati per indurre gli utenti a fare clic su collegamenti che portano a pagine truffa.
Proteggersi dalle truffe
Per proteggersi da queste minacce, è fondamentale verificare la legittimità dei collegamenti prima di fare clic, in particolare quelli contenuti in e-mail o messaggi non richiesti. Evita di interagire con popup, pulsanti, collegamenti e annunci su siti Web sospetti. Scarica applicazioni solo da fonti affidabili, come pagine Web ufficiali o app store, ed evita i siti Web che offrono software piratato o servizi illegali.
Pensieri finali
L’errore di aggiornamento di CrowdStrike sottolinea l’importanza della vigilanza di fronte alle minacce informatiche. I criminali informatici hanno rapidamente colto l'opportunità di sfruttare la situazione, lanciando campagne che coinvolgono RAT, data wiper, token falsi e offerte di risarcimento fraudolente. Rimanendo informati e adottando pratiche online sicure, gli utenti possono proteggersi meglio da tali truffe.
Ricorda, la sicurezza informatica non significa solo avere il software giusto; si tratta anche di essere consapevoli delle tattiche dei criminali informatici e di adottare misure proattive per evitare di cadere vittima dei loro piani. Stai attento, rimani informato e verifica sempre prima di fidarti.
