Η εταιρεία κυβερνοασφάλειας CrowdStrike, που βρίσκεται αντιμέτωπη με παγκόσμιες βλάβες IT λόγω σφάλματος ενημέρωσης σε συσκευές Windows, προειδοποιεί τώρα ότι οι απειλητικοί παράγοντες εκμεταλλεύονται την κατάσταση για να διανείμουν το κακόβουλο λογισμικό Remcos RAT στους πελάτες της στη Λατινική Αμερική υπό το πρόσχημα παροχής μιας γρήγορης επιδιόρθωσης.
Αλυσίδες επίθεσης και διανομή κακόβουλου λογισμικού
Οι επιθέσεις περιλαμβάνουν τη διανομή ενός αρχείου ZIP με το όνομα «crowdstrike-hotfix.zip,» το οποίο περιέχει ένα φορτωτή κακόβουλου λογισμικού με το όνομα Hijack Loader (γνωστός και ως DOILoader ή IDAT Loader) που με τη σειρά του εκκινεί το κακόβουλο λογισμικό Remcos RAT.
Συγκεκριμένα, το αρχείο ZIP περιλαμβάνει επίσης ένα αρχείο κειμένου («instrucciones.txt») με οδηγίες στα ισπανικά που παροτρύνει τους στόχους να εκτελέσουν ένα αρχείο εκτελέσιμου προγράμματος («setup.exe») για να αποκαταστήσουν το ζήτημα.
Στόχευση πελατών στη Λατινική Αμερική
«Οι ισπανικές ονομασίες αρχείων και οι οδηγίες μέσα στο αρχείο ZIP υποδεικνύουν ότι αυτή η εκστρατεία πιθανότατα στοχεύει τους πελάτες της CrowdStrike που βρίσκονται στη Λατινική Αμερική (LATAM)», ανέφερε η εταιρεία, αποδίδοντας την εκστρατεία σε μια ύποπτη ομάδα ηλεκτρονικού εγκλήματος.
Λογικό σφάλμα και BSoD
Την Παρασκευή, η CrowdStrike αναγνώρισε ότι μια ρουτίνα ενημέρωσης διαμόρφωσης αισθητήρα που κυκλοφόρησε στην πλατφόρμα Falcon για συσκευές Windows στις 19 Ιουλίου στις 04:09 UTC προκάλεσε ακούσια ένα λογικό σφάλμα που οδήγησε σε Blue Screen of Death (BSoD), καθιστώντας πολλά συστήματα ανενεργά και προκαλώντας πανικό σε πολλές επιχειρήσεις.
Εκμετάλλευση του χάους
Οι κακόβουλοι παράγοντες δεν έχασαν χρόνο και εκμεταλλεύτηκαν το χάος που δημιουργήθηκε από το συμβάν για να στήσουν domains με τυπογραφικά λάθη που προσποιούνται ότι είναι η CrowdStrike και να διαφημίσουν υπηρεσίες προς τις πληγείσες εταιρείες με αντάλλαγμα πληρωμές σε κρυπτονόμισμα.
Οι πελάτες που επηρεάζονται συνιστάται να «εξασφαλίσουν ότι επικοινωνούν με εκπροσώπους της CrowdStrike μέσω επίσημων καναλιών και να ακολουθούν τις τεχνικές οδηγίες που παρέχουν οι ομάδες υποστήριξης της CrowdStrike».
Εμπλοκή της Microsoft
Η Microsoft, που συνεργάζεται με την CrowdStrike σε προσπάθειες αποκατάστασης, ανέφερε ότι η ψηφιακή κατάρρευση επηρέασε 8,5 εκατομμύρια συσκευές Windows παγκοσμίως, δηλαδή λιγότερο από το ένα τοις εκατό όλων των συσκευών Windows.
Σημαντικές δηλώσεις για την ασφάλεια και την αποκατάσταση
Η εξέλιξη αυτή – η οποία ανέδειξε τους κινδύνους που σχετίζονται με την εξάρτηση από μονοπολιτιστικές αλυσίδες εφοδιασμού – σηματοδοτεί την πρώτη φορά που το πραγματικό αντίκτυπο και η κλίμακα του πιθανώς πιο διαταραγμένου κυβερνογεγονότος στην ιστορία έχει γίνει επίσημα γνωστό. Οι συσκευές Mac και Linux δεν επηρεάστηκαν από τη διακοπή.
«Αυτό το συμβάν δείχνει τη διασυνδεδεμένη φύση του ευρύτερου οικοσυστήματός μας – παγκόσμιοι πάροχοι cloud, πλατφόρμες λογισμικού, προμηθευτές ασφάλειας και άλλοι προμηθευτές λογισμικού και πελάτες», δήλωσε ο τεχνολογικός γίγαντας. «Είναι επίσης μια υπενθύμιση πόσο σημαντικό είναι για όλους μας στο τεχνολογικό οικοσύστημα να δίνουμε προτεραιότητα στη λειτουργία με ασφαλή ανάπτυξη και ανάκαμψη από καταστροφές χρησιμοποιώντας τους μηχανισμούς που υπάρχουν».
