Firma za cyber sigurnost CrowdStrike, koja se suočava sa vrućinom zbog izazivanja IT poremećaja širom svijeta izbacivanjem pogrešne nadogradnje za Windows uređaje, sada upozorava da hakeri iskorištavaju situaciju kako bi distribuirali Remcos RAT svojim klijentima u Latinskoj Americi pod krinkom pružanja hotfix.
Lanci napada uključuju distribuciju ZIP arhivske datoteke pod nazivom “crowdstrike-hotfix.zip”, koja sadrži učitavač malvera pod nazivom Hijack Loader (aka DOILoader ili IDAT Loader) koji zauzvrat pokreće Remcos RAT korisni teret.
Konkretno, arhivska datoteka takođe uključuje tekstualnu datoteku („instrucciones.txt“) sa uputstvima na španskom jeziku koja poziva ciljeve da pokreću izvršnu datoteku („setup.exe“) kako bi se oporavili od problema.
„Naročito, španski nazivi datoteka i uputstva u ZIP arhivi ukazuju na to da je ova kampanja vjerovatno ciljana na klijente CrowdStrike sa sjedištem u Latinskoj Americi (LATAM),“ saopštila je kompanija, pripisujući kampanju osumnjičenoj grupi za e-kriminal.
U petak je CrowdStrike potvrdio da je rutinsko ažuriranje konfiguracije senzora koje je gurnuto na njegovu Falcon platformu za Windows uređaje 19. jula u 04:09 UTC nenamjerno pokrenulo logičku grešku koja je rezultovala Plavim ekranom smrti (BSoD), čineći brojne sisteme nefunkcionalnim i slanjem preduzeća u zastoj.
Događaj je uticao na korisnike koji su koristili Falcon senzor za Windows verziju 7.11 i novije, a koji su bili na mreži između 04:09 i 05:27 UTC.
Zlonamjerni hakeri nisu gubili vrijeme i kapitalizirali haos koji je stvorio događaj kako bi postavili domene za kucanje koje se lažno predstavljaju kao CrowdStrike i reklamirali usluge kompanijama pogođenim problemom u zamjenu za plaćanje u kriptovaluti.
Korisnicima koji su pogođeni preporučuje se da “osiguraju da komuniciraju sa predstavnicima CrowdStrike-a preko službenih kanala i da se pridržavaju tehničkih uputstava koje su timovi za podršku CrowdStrikea dali.”
Microsoft, koji se angažuje sa CrowdStrikeom u naporima za sanaciju, rekao je da je digitalni krah osakatio 8,5 miliona Windows uređaja na globalnom nivou, ili manje od jednog posto svih Windows mašina.
Ovaj razvoj – koji je još jednom doveo do izražaja rizike povezane sa oslanjanjem na monokulturne lance snabdevanja – označava prvi put da je istinski uticaj i razmere onoga što će verovatno biti najrazorniji cyber događaj u istoriji zvanično objavljeni. Mac i Linux uređaji nisu utjecali na prekid rada.
„Ovaj incident demonstrira međusobno povezanu prirodu našeg širokog ekosistema – globalnih dobavljača oblaka, softverskih platformi, dobavljača sigurnosti i drugih dobavljača softvera i kupaca“, rekao je tehnološki gigant. “To je takođe podsjetnik na to koliko je važno za sve nas u cijelom tehnološkom ekosistemu da damo prioritet radu sa sigurnom primjenom i oporavkom od katastrofe koristeći postojeće mehanizme.”
Ažuriraj
Microsoft je stavio na raspolaganje novi alat za oporavak kako bi pomogao IT administratorima da poprave Windows mašine na koje je utjecalo neispravno ažuriranje CrowdStrike-a koje je srušilo 8,5 miliona Windows uređaja.
CrowdStrike je takođe objavio novi centar za sanaciju i usmjeravanje koji služi kao mjesto na jednom mjestu za sve detalje koji se odnose na incident, navodeći načine za identifikaciju pogođenih hostova i njihovo rješavanje, uključujući i one koji su šifrirani pomoću BitLocker-a.
Ovaj potez je uslijedio pošto su se od tada pojavili izvještaji o CrowdStrike ažuriranjima koja su uzrokovala da se svi Debian Linux serveri u neimenovanoj građanskoj tehnološkoj laboratoriji istovremeno sruše i odbiju pokrenuti, kao i da izazovu paniku kernela u distribucijama Red Hat i Rocky Linux.
“Značajan broj” pogođenih uređaja ponovo online
CrowdStrike, u ažuriranju objavljenom tokom vikenda, kaže da je “značajan broj” od 8,5 miliona pogođenih Windows uređaja ponovo pokrenut i da je operativan.
Objava dolazi nakon što je Microsoft rekao Wall Street Journalu da prekid proizlazi iz davanja pristupa na nivou jezgra softveru za otkrivanje i odgovor na krajnju tačku (EDR) i da ne može blokirati pristup zbog sporazuma s Evropskom komisijom iz 2009. da odobri “proizvođačima sigurnosnog softvera isti nivo pristupa Windows-u koji ima Microsoft.”
Osim ciljanja na LATAM, incident je takođe korišten za vršenje prevara i isporuku zlonamjernog softvera, pri čemu je haktivistička grupa po imenu Handala iskoristila priliku da postavi brisače podataka kao dio phishing kampanje koja cilja korisnike CrowdStrike-a u Izraelu.
Izvor:The Hacker News
