Wiele twarzy oszustwa CrowdStrike
Cyberbezpieczeństwo ma ogromne znaczenie niezależnie od tego, czy jesteś stale online, czy korzystasz z Internetu tylko do płacenia rachunków za media. Niestety, nawet najbardziej niezawodne firmy mogą napotkać problemy, które otwierają drzwi cyberprzestępcom. Doskonale ilustruje to niedawny incydent z udziałem CrowdStrike, renomowanej amerykańskiej firmy zajmującej się cyberbezpieczeństwem. Poniżej szczegółowo opisujemy, co się stało, w jaki sposób cyberprzestępcy wykorzystali tę sytuację i jak można się chronić.
Table of Contents
Co się stało z CrowdStrike?
CrowdStrike specjalizuje się w bezpieczeństwie punktów końcowych, analizie zagrożeń i usługach reagowania na cyberataki. 19 lipca 2024 firma wydała aktualizację dla systemów Windows. Jednak ta aktualizacja zawierała błąd, który powodował awarię systemów i wyświetlanie przerażającego niebieskiego ekranu śmierci (BSOD). Ta awaria systemu stworzyła nieoczekiwaną lukę w zabezpieczeniach, którą cyberprzestępcy szybko wykorzystali.
Wykorzystanie błędu CrowdStrike
Jedna z godnych uwagi kampanii ukierunkowanych na tę lukę obejmowała fałszywą aktualizację CrowdStrike Hotfix skierowaną do klientów banku BBVA. Cyberprzestępcy konfigurują stronę phishingową udającą portal intranetowy BBVA, namawiając użytkowników do pobrania złośliwego pliku archiwum. Plik ten zawierał trojana dostępu zdalnego (RAT) znanego jako Remcos .
RAT umożliwia atakującym zdalne kontrolowanie zainfekowanego komputera, umożliwiając rejestrowanie klawiszy, przesyłanie plików i nadzór. To złośliwe oprogramowanie było promowane za pomocą instrukcji zachęcających użytkowników do zainstalowania aktualizacji w celu uniknięcia błędów sieciowych, a tym samym narażenia na szwank ich systemów.
Wiadomości phishingowe i usuwanie danych
Kolejna złośliwa kampania pojawiła się za pośrednictwem wiadomości e-mail phishingowych. Cyberprzestępcy poinstruowali odbiorców, aby pobrali plik ZIP zawierający fałszywą aktualizację CrowdStrike. Plik ten zawierał jednak narzędzie do usuwania danych — rodzaj złośliwego oprogramowania zaprojektowanego w celu trwałego usuwania lub uszkadzania danych na komputerze.
Te e-maile phishingowe wykorzystywały obawy użytkowników i wykorzystywały błąd początkowej aktualizacji CrowdStrike, aby nakłonić ich do dalszego naruszenia bezpieczeństwa ich systemów.
Oto treść maila:
Dear Valued Customer
CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This was not a cyberattack.
The issue has been identified, isolated and a fixed has been deployed.
We are referring customers to update their Windows servers as soon as possible through through the attached tool to avoid disruptions!
We further recommend organizations ensure they're communicating with CrowdStrike representatives through official channels.
Our team is fully mobilized to ensure the security and stability of CrowdStrike customers.
We understand the gravity of the situation and are deeply sorry for the inconvenience and disruption. We are working with all impacted customers to ensure that systems are back up and they can deliver the services their customers are counting on.
Obviously, the consequences of any failure to update the system and disruption will be the responsibility of the organization's IT manager.
Oszustwa związane z kryptowalutami
Błąd CrowdStrike stał się także bodźcem do szeregu oszustw związanych z fałszywymi tokenami kryptowalut. Oszuści promowali fikcyjne tokeny, takie jak $CROWDSTRIKE lub $CROWDSTROKE, nakłaniając osoby do ujawnienia poufnych informacji lub przesłania kryptowaluty. Oszustwa te często prowadziły do strat finansowych ofiar.
Fałszywe oferty wynagrodzeń
Innym rozwiązaniem jest to, że oszuści podszywali się pod firmy oferujące rekompensatę osobom dotkniętym błędem aktualizacji CrowdStrike. Celem tych oszukańczych ofert było wyciągnięcie poufnych informacji, płatności za fałszywe usługi, a nawet uzyskanie dostępu do komputerów ofiar. Takie oszustwa mogą prowadzić do dalszych infekcji, szyfrowania danych i strat finansowych.
Typowe taktyki oszustwa
Oszuści używali różnych kanałów, aby obrać za cel użytkowników dotkniętych błędem CrowdStrike. Powszechnymi metodami były e-maile i zhakowane konta w mediach społecznościowych, szczególnie w serwisie X (dawniej Twitter). Istotną rolę odegrały także zwodnicze reklamy i powiadomienia z niewiarygodnych witryn internetowych.
Inne sposoby obejmowały nieuczciwe sieci reklamowe znalezione na nielegalnych stronach do strumieniowego przesyłania filmów i witrynach z torrentami, aplikacje do SMS-ów i przesyłania wiadomości, reklamy z zainstalowanego oprogramowania reklamowego oraz fora internetowe. Metody te mają na celu nakłonienie użytkowników do kliknięcia linków prowadzących do stron z oszustwami.
Chroń się przed oszustwami
Aby zabezpieczyć się przed tymi zagrożeniami, ważne jest, aby przed kliknięciem sprawdzić autentyczność linków, szczególnie tych znajdujących się w niechcianych e-mailach lub wiadomościach. Unikaj interakcji z wyskakującymi okienkami, przyciskami, linkami i reklamami w podejrzanych witrynach. Pobieraj aplikacje wyłącznie z wiarygodnych źródeł, takich jak oficjalne strony internetowe lub sklepy z aplikacjami, i unikaj witryn oferujących pirackie oprogramowanie lub nielegalne usługi.
Końcowe przemyślenia
Błąd aktualizacji CrowdStrike podkreśla znaczenie czujności w obliczu cyberzagrożeń. Cyberprzestępcy szybko wykorzystali okazję, aby wykorzystać tę sytuację, uruchamiając kampanie z udziałem RAT, czyszczenia danych, fałszywych tokenów i fałszywych ofert rekompensat. Pozostając na bieżąco i stosując bezpieczne praktyki w Internecie, użytkownicy mogą lepiej chronić się przed takimi oszustwami.
Pamiętaj, że cyberbezpieczeństwo to nie tylko posiadanie odpowiedniego oprogramowania; chodzi także o świadomość taktyki stosowanej przez cyberprzestępców i podejmowanie proaktywnych kroków, aby nie stać się ofiarą ich schematów. Zachowaj czujność, bądź na bieżąco i zawsze sprawdzaj, zanim zaufasz.
