Siber suçlular kullanıyor geçen haftaki CrowdStrike kesintisi Güvenlik sağlayıcısının müşterilerine karşı sosyal mühendislik saldırıları için bir araç olarak.
Uçakların yere indirildiği, mağazaların kapatıldığı, tıbbi tesislerin kapatıldığı ve daha fazlasının yaşandığı olaydan sonraki saatlerde, ulusal siber güvenlik kurumları BİZ, İngiltere, KanadaVe Avustralya küçük suçlular tarafından bildirilen tüm takip eden kimlik avı faaliyetleri. Herhangi bir ulusal haber olayından sonra bu beklenebilir. Ancak, BforeAI CEO’su Luigi Lenguito, CrowdStrike sonrası bu saldırıların hem daha bol hem de genellikle büyük medya haberlerinden sonra görülenlerden daha hedefli olduğunu söylüyor.
Referans olarak, “geçtiğimiz hafta Trump’a yapılan saldırıda, 200’ün ilk gününde bir artış gördük. [related cyber threats] ve sonra günde 40, 50’ye düştü,” diyor. “Burada, üç kat daha büyük bir artış görüyorsunuz. Günde yaklaşık 150 ila 300 saldırı görüyoruz. Bunun haberle ilgili saldırılar için normal hacim olmadığını söyleyebilirim.”
CrowdStrike Dolandırıcılığının Profili
“Felsefe şu: Bilgisayarları ana gemiye bağlanamadığı için kaybolan büyük şirketlerin kullanıcılarımız var ve şimdi bağlanmaya çalışıyorlar. Siber suçluların bu ağlara geri dönmeleri için mükemmel bir fırsat,” diye açıklıyor Lenguito.
Bu, CrowdStrike temalı kimlik avı saldırılarını, örneğin Trump suikastı temalı olanlardan karakteristik olarak farklı kılar. Çok daha hedeflidirler – kesintiden etkilenen kuruluşları hedef alırlar – ve potansiyel kurbanlar, ortalama bir ayıdan daha teknik olarak yetenekli ve siber güvenlik konusunda daha eğitimlidirler.
Saldırganlar, bu kişileri içeri girmelerine ikna etmek için kendilerini şirketin kendisi, ilgili teknik destek veya kendi “teklifleri” olan rakip şirketler olarak tanıtıyorlar.
Kanıtlar şurada yatıyor: kimlik avı ve yazım yanlışı yapan alan adları son günlerde crowdstrikefix gibi kayıtlı[.]com, crowdstrikegüncelleme[.]com ve www.microsoftcrowdstrike[.]com. Bir güvenlik araştırmacısı tespit etti 2.000’den fazla bu tür alan adı Şu ana kadar üretilmiş olanlar.
Bu etki alanları, kötü amaçlı yazılımları dağıtmak için kullanılabilir, örneğin: Düzeltme dosyasıymış gibi görünen ZIP dosyası Geçtiğimiz hafta sonu bir kötü amaçlı yazılım tarama servisine yüklenen ZIP dosyası Kaçırma Yükleyici (diğer adıyla IDAT Yükleyici), bu da sırayla RemCos FAREDosya ilk olarak Meksika’dan bildirildi ve İspanyolca dosya adları içeriyordu; bu da kampanyanın büyük ihtimalle Latin Amerika’daki CrowdStrike müşterilerini hedef aldığını gösteriyordu.
İçinde başka bir durumsaldırganlar kabaca tasarlanmış bir PDF eki içeren CrowdStrike temalı bir kimlik avı e-postası dağıttılar. PDF’in içinde, içinde yürütülebilir bir dosya bulunan bir ZIP ekini indirmek için bir bağlantı vardı. Başlatıldığında, yürütülebilir dosya kurbandan bir güncelleme yüklemek için izin istedi. Ancak güncelleme bir siliciydi. Hamas yanlısı hacktivist grup “Handala” sorumluluk aldıİsrailli “düzinelerce” kuruluşun bu nedenle birkaç terabayt veri kaybettiğini iddia etti.
Lenguito, tehditlerin nasıl gelirse gelsin, kuruluşların engelleme listeleri, koruyucu DNS araçları kullanarak ve CrowdStrike’ın kendi web sitesi ve müşteri hizmetleri kanalları dışındaki herhangi bir yerden teknik destek almaktan kaçınarak kendilerini koruyabileceklerini söylüyor.
Ya da belki de sadece bekleyebilirler. “Hala erken aşamadayız, değil mi? Muhtemelen önümüzdeki haftalarda bunun azaldığını göreceğiz. Genel olarak, bu kampanyaların iki ila üç hafta sürme eğiliminde olduğunu görüyoruz,” diyor.