**Увеличение киберпреступности после сбоя CrowdStrike: фишинговые атаки и вредоносное ПО**
На фоне недавнего сбоя в работе CrowdStrike, наблюдается всплеск киберпреступной активности, использующей хаос для проведения атак социальной инженерии против клиентов компании. Инцидент, который нарушил воздушные перевозки, закрыл розничные операции и остановил медицинские услуги, привлек внимание национальных агентств по кибербезопасности в США, Великобритании, Канаде и Австралии. Эти агентства сообщили о заметном увеличении числа фишинговых атак, что является обычным явлением после значимых новостных событий. Однако генеральный директор BforeAI Луиджи Ленгуито подчеркивает, что масштаб и точность этих атак после сбоя CrowdStrike беспрецедентны.
Для контекста Ленгуито отмечает, что во время предыдущего инцидента с участием известной фигуры наблюдалось около 200 связанных киберугроз в первый день, которые затем стабилизировались на уровне примерно 40-50 угроз ежедневно. В отличие от этого, текущая ситуация демонстрирует резкий рост, с ежедневными атаками в диапазоне от 150 до 300. «Это не нормальный объем для атак, связанных с новостями,» утверждает он.
**Профиль мошенничества на тему CrowdStrike**
Ленгуито подробно описывает модус операнди этих фишинговых атак на тему CrowdStrike, объясняя, что они особенно коварны из-за своей целенаправленности. «У нас есть пользователи крупных корпораций, которые потерялись, потому что их компьютеры не могут подключиться к материнской компании, и теперь они пытаются подключиться. Это идеальная возможность для киберпреступников проникнуть в эти сети,» объясняет он.
В отличие от более широких атак, эти мошенничества направлены на организации, непосредственно пострадавшие от сбоя, и потенциальные жертвы обладают более высоким уровнем технической экспертизы и осведомленности о кибербезопасности. Чтобы получить доступ, злоумышленники выдают себя за саму компанию, предлагая техническую поддержку или даже представляясь конкурентами с заманчивыми «решениями».
Доказательства этой вредоносной активности отражены в распространении фишинговых и типосквоттинговых доменов, зарегистрированных в последние дни, таких как crowdstrikefix[.]com, crowdstrikeupdate[.]com и www.microsoftcrowdstrike[.]com. Один усердный исследователь безопасности выявил более 2000 таких доменов.
Эти домены могут служить каналами для распространения вредоносного ПО, как это было с ZIP-файлом под видом хотфикса, загруженным на сервис сканирования вредоносного ПО в прошлые выходные. Этот ZIP-файл содержал HijackLoader, который затем загружал RemCos RAT. Первоначальный отчет об этом файле поступил из Мексики, а испаноязычные имена файлов свидетельствуют о целевой кампании против клиентов CrowdStrike в Латинской Америке.
В другом случае злоумышленники распространили фишинговое письмо на тему CrowdStrike с плохо оформленным PDF-вложением. Этот PDF содержал ссылку на загрузку ZIP-файла с исполняемым файлом. При выполнении файл запрашивал разрешение на установку обновления, которое оказалось вайпером. Хактивистская группа «Handala» взяла на себя ответственность, утверждая, что многие израильские организации понесли значительные потери данных.
Независимо от используемых методов Ленгуито советует организациям укреплять свою защиту с помощью блок-листов, защитных DNS-инструментов и обращаться за технической поддержкой исключительно через официальные каналы CrowdStrike. Альтернативно он предлагает проявить терпение, так как такие кампании обычно длятся от двух до трех недель. «Мы все еще на ранней стадии, верно? Вероятно, мы увидим спад в ближайшие недели,» заключает он.