Хакерите вече се възползват от хаоса при прекъсване на CrowdStrike

Киберпрестъпниците към този момент се възползват от хаоса от всеобщия световен софтуерен срив в петък, като разпространяват подправени уеб страници, цялостни със злоумишлен програмен продукт, предопределен да компрометира нищо неподозиращите жертви, съгласно предизвестията на държавното управление на Съединени американски щати и голям брой експерти по киберсигурност.

Хакерите основават подправени уеб страници, предопределени да привлекат хора, търсещи информация за или решения за международния ИТ срив, само че в реалност са предопределени да събират информация на посетителите или да пробиват техните устройства, споделиха специалистите по сигурността.

Измамните уеб сайтове употребяват имена на домейни, които включват основни думи като CrowdStrike – компанията за киберсигурност зад дефектна софтуерна актуализация, довела до рецесията – или „ наследник екран “, което компютрите, наранени от бъга на CrowdStrike, се демонстрират, когато се започват.

Измамните уеб сайтове може да се опитат да привлекат жертвите, като обещаят бързо решение на казуса с CrowdStrike или да ги излъгват с оферти за подправена криптовалута.

В бюлетин за спирането Министерството на вътрешната сигурност сподели, че е станало очевидец на „ заплашващи лица, които се възползват от този случай за фишинг и друга злонамерена активност “.

„ Останете бдителни и следвайте единствено указания от законни източници “, се споделя в бюлетина, публикуван от Агенцията за киберсигурност и сигурност на инфраструктурата на Министерството. CrowdStrike издаде свои лични насоки за това какво могат да създадат засегнатите организации в отговор на казуса.

Ситуацията илюстрира по какъв начин едно изменчиво новинарско събитие с огромно влияние сътвори вторични опасности за милиони хора, до момента в който злонамерени участници се пробват да се възползват от бедствието на CrowdStrike и до момента в който хиляди организации се борят да се възстановят от дефектната софтуерна актуализация на CrowdStrike.

„ Това е много общоприет модел, който виждаме след произшествия от подобен мащаб “, сподели Кен Уайт, самостоятелен откривател по сигурността, профилиран в мрежовата сигурност, в изявление за CNN. „ Престъпниците са неуморни в креативните си желания да експлоатират най-уязвимите. “

На фона на спирането в петък самият CrowdStrike предизвести за хакери, които се пробват да се възползват от обстановката, като „ употребяват събитието като стръв “. В обява в блог CrowdStrike сподели, че злонамерените участници освен основават подправени уеб страници, само че и се показват за чиновници на CrowdStrike в лъжливи имейли и телефонни позвънявания, даже продават подправен програмен продукт, който претендира да поправи казуса.

Един образец за това е насочването към испаноговорящите клиенти на CrowdStrike, сподели компанията в обособена обява в блога. Атаката идва под формата на файл с подвеждащо име, наименуван crowdstrike-hotfix.zip. Когато се отвори, файлът конфигурира злоумишлен програмен продукт, който се свързва със сървър, който хакерите управляват и може да употребява, с цел да даде спомагателни указания на злонамерения програмен продукт.

Понастоящем няма автоматизирана промяна за възобновяване от софтуерния проблем на CrowdStrike, който съгласно специалисти по сигурността ще значи дълго и мъчно възобновяване, което евентуално ще коства милиони — в случай че не милиарди — долари.

„ CrowdStrike Intelligence предлага на организациите да подсигуряват, че споделят с представители на CrowdStrike посредством публични канали и се придържат към техническите насоки, предоставени от екипите за поддръжка на CrowdStrike “, сподели компанията.

В прочут смисъл това, което сега се разиграва в киберпространството, наподобява на метода, по който неправилната и дезинформация могат да надделеят над разбирането на обществото за събитията, протичащи се във физическия свят.

Хакерите нормално се пробват да употребяват високопоставени новинарски истории, с цел да насочат трафика по своя път. Например, след огромното нарушаване на данните на Equifax, оповестено през 2017 година, фирмите за сигурност споделиха, че са следили киберпрестъпници да изпращат стотици хиляди фишинг имейли, представящи се за банки. Имейлите се стремят да атакуван разтревожени жертви, които, като се имат поради новините от Equifax, може да са по-склонни да отворят имейл от своята финансова институция, споделиха тогава специалисти.

Тези видове измами, провокирани от събития, се случват на фона на по-широко повишаване на измами с показване под непозната идентичност.

През последните години Федералната комерсиална комисия уточни растеж на измами, при които киберпрестъпниците се показват за държавни чиновници или организации, като Службата за вътрешни доходи или Администрацията за обществено обезпечаване. По време на изключителната обстановка с Covid-19 изобретателни хакери даже се показаха за ръководителя на FTC Лина Хан и изпратиха подправени имейли, в които погрешно се твърдеше, че организацията разпределя средства за облекчение на пандемията – което накара FTC да умолява потребителите да не дават отговор на тези известия.

Американците групово са изгубили стотици милиони долари от тези измами с реплика, сподели FTC.

В обстановка като спирането на CrowdStrike, когато хората търсят информация в незабавна, бързо разрастваща се рецесия и са гладни за решения, фишингът може да подведе доброжелателни хора и организации да подхващат неверни стъпки, правейки неприятната договорка още по-лоша.

Опасностите от фишинг допълват и други странични опасности. Някои организации може да решат сами да отслабят или даже да деактивират отбраните си за киберсигурност, до момента в който се пробват да върнат интервенциите си към естественото.

„ Когато клиентите стартират да се възвръщат, те най-вероятно ще деактивират или модифицират отбраните си от CrowdStrike “, сподели Азим Ходжибаев, откривател по киберсигурност в Cisco Talos, подразделението за киберсигурност на мрежовата компания Cisco, в обява на X. „ Това става да оставя цялостен [много] хора изложени на заплаха! “

Ако бизнесът стартира да става жертва на фишинг офанзиви, които приключват с компрометиране на значими данни или основни системи, това може да има вълнообразни резултати за техните корпоративни клиенти и консуматори, предизвести Брет Калоу, ръководещ шеф на практиката за киберсигурност във FTI Consulting.

„ Лошите артисти рутинно се пробват да се възползват от настоящите събития, тъй че не е изненадващо да ги забележим да се пробват да се възползват от това “, сподели Калоу. „ И това, несъмнено, е нещо, за което клиентите на компании, които са претърпели произшествия с огромен профил, би трябвало да са подготвени. “