**Волна кибератак после сбоя CrowdStrike: как компании справляются с угрозами**
На прошлой неделе произошел сбой в работе CrowdStrike, который вызвал волну киберактивности, направленной на клиентов этого поставщика безопасности. Инцидент, нарушивший авиаперевозки, закрывший розничные операции и остановивший медицинские услуги, привлек внимание национальных агентств по кибербезопасности в США, Великобритании, Канаде и Австралии. Эти агентства сообщили о значительном увеличении числа фишинговых попыток, что является обычным явлением после значимых новостных событий. Однако генеральный директор BforeAI Луиджи Ленгуито отмечает, что масштаб и точность этих атак после сбоя CrowdStrike беспрецедентны.
Для контекста Ленгуито упоминает, что во время предыдущего инцидента с участием высокопрофильной фигуры наблюдался всплеск около 200 связанных киберугроз в первый день, который затем стабилизировался до примерно 40-50 угроз в день. В нынешней ситуации наблюдается резкое увеличение числа атак, достигающих от 150 до 300 в день. «Это не нормальный объем для атак, связанных с новостями», — утверждает он.
**Профиль мошенничества на тему CrowdStrike**
Ленгуито подробно объясняет модус операнди этих фишинговых атак на тему CrowdStrike, отмечая их особую коварность из-за целенаправленного характера. «У нас есть пользователи крупных корпораций, которые потерялись, потому что их компьютеры не могут подключиться к центральному серверу, и теперь они пытаются восстановить связь. Это идеальная возможность для киберпреступников проникнуть в эти сети», — объясняет он.
В отличие от более широких атак, эти мошенничества направлены на организации, непосредственно пострадавшие от сбоя, и потенциальные жертвы обладают более высоким уровнем технической экспертизы и осведомленности в области кибербезопасности. Чтобы получить доступ, злоумышленники выдают себя за саму компанию, предлагая техническую поддержку или даже представляясь конкурентами с заманчивыми «решениями».
Доказательства этой злонамеренной активности отражены в росте числа зарегистрированных фишинговых и тайпосквоттинговых доменов за последние дни, таких как crowdstrikefix[.]com, crowdstrikeupdate[.]com и www.microsoftcrowdstrike[.]com. Один из внимательных исследователей безопасности выявил более 2000 таких доменов.
Эти домены могут служить каналами для распространения вредоносного ПО, примером чего является ZIP-файл под видом хотфикса, загруженный на сервис сканирования вредоносного ПО на прошлых выходных. Этот ZIP-файл содержал HijackLoader, который затем загружал RemCos RAT. Первоначальный отчет об этом файле поступил из Мексики, а испаноязычные имена файлов указывают на целевую кампанию против клиентов CrowdStrike в Латинской Америке.
В другом случае злоумышленники распространили фишинговое письмо на тему CrowdStrike с плохо оформленным PDF-вложением. Этот PDF содержал ссылку на загрузку ZIP-файла с исполняемым файлом. При выполнении файл запрашивал разрешение на установку обновления, которое оказалось вайпером. Хактивистская группа «Handala» взяла на себя ответственность, утверждая, что многочисленные израильские организации понесли значительные потери данных.
Независимо от используемых методов Ленгуито советует организациям укреплять свою защиту с помощью блок-листов, защитных DNS-инструментов и обращаться за технической поддержкой исключительно через официальные каналы CrowdStrike. В качестве альтернативы он предлагает проявить терпение, так как эти кампании обычно длятся от двух до трех недель. «Мы все еще на ранней стадии, верно? Вероятно, мы увидим спад в ближайшие недели», — заключает он.
