После масштабного сбоя в работе организаций по всему миру 18 июня из-за проблемного обновления Falcon Sensor для Windows от компании кибербезопасности CrowdStrike киберпреступники пытаются воспользоваться ситуацией. Они распространяют вредоносный ZIP-архив с именем Crowdstrike-hotfix.zip (хеш SHA256: c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2). bleepingcomputer.com
Архив содержит полезную нагрузку HijackLoader, загружающую RemCo. В CrowdStrike считают, что имена файлов и инструкции в ZIP-архиве на испанском указывают на нацеленность кампании на клиентов CrowdStrike из Латинской Америки (LATAM).
Киберпреступники также проводят фишинговые кампании против клиентов CrowdStrike. Они рассылают электронные письма, выдавая себя за службу техподдержки, называют себя сотрудниками компании во время телефонных звонков, а также выдают себя за независимых исследователей, чтобы предложить информацию по устранению сбоев. Наконец, хакеры продают сценарии для автоматизации восстановления систем.
За считанные дни для проведения фишинговых кампаний были созданы следующие домены:
Crowdstrike.phpartners[.]org, Crowdstrike0day[.]com, Crowdstrikebluescreen[.]com, Crowdstrike-bsod[.]com, Crowdstrikeupdate[.]com, Crowdstrikebsod[.]com, www.crowdstrike0day[.]com, www.fix-crowdstrike-bsod[. ]com, crowdstrikeoutage[.]info, www.microsoftcrowdstrike[.]com, crowdstrikeodayl[.]com, crowdstrike[.]buzz, www.crowdstriketoken[.]com, www.crowdstrikefix[.]com, fix-crowdstrike-apocalypse[.]com, microsoftcrowdstrike[. ]com, Crowdstrikedoomsday[.]com, Crowdstrikedown[.]com, Whatiscrowdstrike[.]com, Crowdstrike-HelpDesk[.]com, Crowdstrikefix[.]com, Fix-Crowdstrike-BSOD[.]com, Crowdstrikedown[.]site, Crowdstuck[.]org, Crowdfalcon- immed-update[.]com, Crowdstriketoken[.]com, Crowdstrikeclaim[.]com, Crowdstrikeblueteam[.]com, Crowdstrikefix[.]zip, Crowdstrikereport[.]com.
Компания кибербезопасности AnyRun также сообщила, что злоумышленники распространяют очиститель данных под предлогом доставки обновления от CrowdStrike: «Он уничтожает систему, перезаписывая файлы с нулевыми байтами, а затем сообщает об этом через Telegram». Ответственность за эту кампанию взяла на себя проиранская хактивистская группа Handala. Злоумышленники выдавали себя за CrowdStrike, отправляя электронные письма с домена «crowdstrike.com.vc» и сообщая клиентам, что появился инструмент для возобновления работы систем Windows. Письма содержали PDF-файл с инструкциями по запуску поддельного обновления, а также ссылку для загрузки вредоносного ZIP-архива с файлового хостинга. Этот zip-файл включает исполняемый файл с именем Crowdstrike.exe. После выполнения скрипта программа очистки данных извлекается в папку %Temp% и запускается для уничтожения информации на устройстве.bleepingcomputer.com
CrowdStrike советует своим клиентам связываться с представителями компании только по официальным каналам и придерживаться технических рекомендаций, предоставленных ею и Microsoft. Последняя также недавно обновила своё руководство, предложив автоматизированный метод восстановления работы систем с помощью загрузочного USB-накопителя и скрипта MsftRecoveryToolForCS.ps1.
Ранее сообщалось, что восстановление работоспособности IT-систем из-за сбоя ПО CrowdStrike во многих компаниях может занять недели.
Подробнее о хронике и причинах сбоя можно почитать здесь.
Источник новости: habr.com