Poucos dias depois do apagão global causado por uma atualização, os hackers tentam tirar vantagem da problemática da CrowdStrike.
Os atores de ameaças estão explorando a enorme interrupção dos negócios causada pela atualização problemática da CrowdStrike na sexta-feira para atingir empresas com limpadores de dados e ferramentas de acesso remoto.
À medida que as empresas procuram assistência para consertar hosts Windows afetados, pesquisadores e agências governamentais detectaram um aumento no número de e-mails de phishing tentando tirar vantagem da situação.
Hackers tentam tirar vantagem da problemática da CrowdStrike
Sim. Hackers tentam tirar vantagem da problemática da CrowdStrike. Por outro lado, em uma atualização hoje, a CrowdStrike afirma que “está ajudando ativamente os clientes” afetados pela recente atualização de conteúdo que travou milhões de hosts Windows em todo o mundo.
A empresa aconselha os clientes a verificarem se comunicam com representantes legítimos através de canais oficiais, uma vez que “adversários e malfeitores tentarão explorar eventos como este”.
“Encorajo todos a permanecerem vigilantes e garantirem o envolvimento com representantes oficiais da CrowdStrike. Nosso blog e suporte técnico continuarão sendo os canais oficiais para as atualizações mais recentes”– George Kurtz, CEO da CrowdStrike
O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) também alertou que observou um aumento nas mensagens de phishing com o objetivo de aproveitar a interrupção.
A plataforma automatizada de análise de malware AnyRun notou “um aumento nas tentativas de personificar o CrowdStrike que pode potencialmente levar ao phishing” [1, 2, 3].
No sábado, o pesquisador de segurança cibernética g0njxa relatou pela primeira vez uma campanha de malware direcionada a clientes do banco BBVA que ofereceu uma atualização falsa do CrowdStrike Hotfix que instala o Remcos RAT.
O hotfix falso foi promovido através de um site de phishing, portalintranetgrupobbva[.]com, que fingia ser um portal de intranet do BBVA.
Incluídas no arquivo malicioso estão instruções que instruem os funcionários e parceiros a instalar a atualização para evitar erros ao se conectar à rede interna da empresa.
“Atualização obrigatória para evitar erros de conexão e sincronização com a rede interna da empresa”, diz o arquivo ‘instrucciones.txt’ em espanhol.
AnyRun, que também tuitou sobre a mesma campanha, disse que o hotfix falso entrega o HijackLoader, que então coloca a ferramenta de acesso remoto Remcos no sistema infectado.
Em outro aviso, AnyRun anunciou que os invasores estão distribuindo um limpador de dados sob o pretexto de entregar uma atualização do CrowdStrike.
“Ele dizima o sistema sobrescrevendo arquivos com zero bytes e depois reporta isso pelo #Telegram”, diz AnyRun.
Esta campanha foi reivindicada pelo grupo hacktivista pró-iraniano Handala, que afirmou no Twitter que se fez passar pela CrowdStrike em e-mails para empresas israelitas para distribuir o limpador de dados.
Os atores da ameaça personificaram o CrowdStrike enviando e-mails do domínio ‘crowdstrike.com.vc’, informando aos clientes que uma ferramenta foi criada para colocar os sistemas Windows novamente online.
Os e-mails incluem um PDF visto pelo BleepingComputer que contém mais instruções sobre como executar a atualização falsa, bem como um link para baixar um arquivo ZIP malicioso de um serviço de hospedagem de arquivos. Este arquivo zip contém um executável chamado ‘Crowdstrike.exe’.
Depois que a atualização falsa do CrowdStrike é executada, o limpador de dados é extraído para uma pasta em %Temp% e iniciado para destruir os dados armazenados no dispositivo.
O defeito na atualização de software da CrowdStrike teve um impacto enorme nos sistemas Windows de várias organizações, tornando-se uma oportunidade boa demais para os cibercriminosos passarem.
De acordo com a Microsoft, a atualização defeituosa “afetou 8,5 milhões de dispositivos Windows, ou menos de um por cento de todas as máquinas Windows”.
O dano aconteceu em 78 minutos, entre 04h09 UTC e 05h27 UTC.
Apesar da baixa porcentagem de sistemas afetados e do esforço da CrowdStrike para corrigir o problema rapidamente, o impacto foi enorme.
Falhas em computadores levaram ao cancelamento de milhares de voos, interromperam atividades em empresas financeiras, derrubaram hospitais, organizações de mídia, ferrovias e até afetaram serviços de emergência.
Em uma postagem post-mortem no blog no sábado, CrowdStrike explica que a causa da interrupção foi uma atualização do arquivo de canal (configuração do sensor) para hosts do Windows (versão 7.11 e superior) que acionou um erro lógico que levou a uma falha.
Embora o arquivo do canal responsável pelas falhas tenha sido identificado e não cause mais problemas, as empresas que ainda lutam para restaurar as operações normais dos sistemas podem seguir as instruções da CrowdStrike para recuperar hosts individuais, chaves BitLocker e ambientes baseados em nuvem.