Firma zajmująca się bezpieczeństwem CrowdStrike nieumyślnie wywołała w piątek chaos na całym świecie po wdrożeniu wadliwej aktualizacji oprogramowania na platformie monitorującej Falcon, która spowodowała uszkodzenie komputerów z systemem Windows, na których działał ten produkt. Rozwiązanie skutków incydentu zajmie kilka dni, a firma ostrzega, że w miarę jak administratorzy systemów i pracownicy IT pracują nad naprawami, pojawia się kolejne zagrożenie: drapieżne oszustwa cyfrowe próbujące wykorzystać kryzys.
W piątkowe popołudnie badacze zaczęli ostrzegać, że napastnicy rezerwują nazwy domen i zaczynają uruchamiać strony internetowe i inną infrastrukturę w celu przeprowadzania oszustw związanych z „CrowdStrike Support”, których celem są klienci firmy i wszystkie osoby, na które chaos może mieć wpływ. Własni badacze CrowdStrike również ostrzegł o tej działalności w piątek i opublikował listę domen pozornie zarejestrowanych w celu podszywania się pod firmę.
„Wiemy, że przeciwnicy i źli aktorzy będą próbowali wykorzystać takie wydarzenia” – założyciel i dyrektor generalny CrowdStrike, George Kurtz napisał w oświadczeniu. „Zachęcam wszystkich do zachowania czujności i kontaktowania się z oficjalnymi przedstawicielami CrowdStrike. Nasz blog i pomoc techniczna nadal będą oficjalnymi kanałami otrzymywania najnowszych aktualizacji.”
Atakujący nieuchronnie wykorzystują ważne wydarzenia o zasięgu globalnym, a także aktualne problemy w określonych obszarach geograficznych, aby spróbować nakłonić ludzi do przesłania im pieniędzy, kradzieży danych uwierzytelniających konta docelowego lub narażenia ofiar za pomocą złośliwego oprogramowania.
„Podmioty zagrażające niezmiennie próbują wykorzystać każde ważne wydarzenie” – mówi Brett Callow, dyrektor zarządzający ds. komunikacji w zakresie cyberbezpieczeństwa i prywatności danych w FTI Consulting. „Za każdym razem, gdy w organizacji dochodzi do incydentu, klienci i partnerzy biznesowi powinni być na to przygotowani”.
Chociaż większość osób nie jest osobiście odpowiedzialna za rozwiązywanie problemów z awariami komputerów związanymi z CloudStrike, incydent ten nadaje się do wykorzystania, ponieważ niektórzy specjaliści IT pracujący nad naprawami mogą desperacko szukać rozwiązań. W większości przypadków naprawa komputerów, których dotyczy problem, polega na indywidualnym uruchomieniu i poprawieniu każdego z nich — jest to proces potencjalnie czasochłonny i trudny logistycznie. Dla właścicieli małych firm, którzy nie mają dostępu do rozległej wiedzy informatycznej, wyzwanie może być szczególnie trudne.
Badacze, w tym ci z wywiadu CrowdStrike, widzieli jak dotąd osoby atakujące wysyłające e-maile phishingowe lub wykonujące połączenia telefoniczne, podszywając się pod personel pomocy technicznej CrowdStrike i sprzedając narzędzia programowe, które rzekomo automatyzują proces odzyskiwania po wadliwej aktualizacji oprogramowania. Niektórzy napastnicy udają także badaczy i twierdzą, że posiadają specjalne informacje niezbędne do odzyskania danych — że sytuacja jest w rzeczywistości wynikiem cyberataku, choć tak nie jest.
CrowdStrike podkreśla, że klienci powinni potwierdzić, że komunikują się z legalnymi pracownikami firmy i ufać wyłącznie oficjalnym komunikatom korporacyjnym firmy.
„Pomogą w tym szybkie powiadomienia dla pracowników, określające potencjalne ryzyko” – Callow mówi o tym, jak klienci CloudStrike powinni pracować, aby się bronić. „Przestrzegany jest przezorny”.
