Attenzione! Attacco malware sfrutta problemi di aggiornamento CrowdStrike
L'azienda di cybersecurity CrowdStrike, al centro delle polemiche per aver causato disservizi IT a livello mondiale a causa di un aggiornamento difettoso per dispositivi Windows, sta ora avvisando gli utenti che i cybercriminali stanno sfruttando la situazione per distribuire il malware Remcos RAT ai propri clienti latinoamericani fingendosi un hotfix.
Le catene di attacco prevedono la distribuzione di un file archivio ZIP chiamato "crowdstrike-hotfix.zip". Questo archivio contiene un loader malware chiamato Hijack Loader (aka DOILoader o IDAT Loader) che a sua volta esegue il payload Remcos RAT.
Nello specifico, il file ZIP include anche un documento di testo ("instrucciones.txt") con istruzioni in spagnolo che invita le vittime ad eseguire un file eseguibile ("setup.exe") per risolvere il problema.
"È interessante notare che i nomi dei file e le istruzioni in spagnolo all'interno dell'archivio ZIP indicano che questa campagna probabilmente prende di mira i clienti CrowdStrike dell'America Latina (LATAM)", ha affermato l'azienda, attribuendo la campagna a un presunto gruppo di cybercriminali.
Venerdì, CrowdStrike ha riconosciuto che un aggiornamento di routine della configurazione del sensore inviato alla sua piattaforma Falcon per dispositivi Windows il 19 luglio alle 04:09 UTC ha inavvertitamente innescato un errore logico che ha causato un Blue Screen of Death (BSoD), rendendo inutilizzabili numerosi sistemi e mandando in tilt le aziende.
L'evento ha colpito i clienti che eseguivano la versione 7.11 e successive del sensore Falcon per Windows, che erano online tra le 04:09 e le 05:27 UTC.
Gli attori malintenzionati non hanno perso tempo a sfruttare il caos creato dall'evento per impostare domini di typosquatting che imitano CrowdStrike e pubblicizzare servizi alle aziende colpite dal problema in cambio di un pagamento in criptovaluta.
Ai clienti colpiti si consiglia di "verificare di comunicare con i rappresentanti di CrowdStrike attraverso i canali ufficiali e di attenersi alle guide tecniche fornite dai team di supporto CrowdStrike".
Microsoft, che ha collaborato con CrowdStrike nelle attività di ripristino, ha affermato che il disastro digitale ha colpito 8,5 milioni di dispositivi Windows a livello globale, ovvero meno dell'uno percento di tutte le macchine Windows.
Questo evento - che ha riportato alla luce i rischi associati all'affidamento a catene di fornitura monoculturali - segna la prima volta in cui il vero impatto e la portata di quello che probabilmente sarà l'evento cyber più dirompente della storia viene reso pubblico ufficialmente. Dispositivi Mac e Linux non sono stati interessati dal disservizio.
"Questo incidente dimostra la natura interconnessa del nostro ecosistema più ampio: provider cloud globali, piattaforme software, vendor di sicurezza e altri vendor di software e clienti", ha affermato il gigante della tecnologia. "È anche un promemoria di quanto sia importante per tutti noi nell'ecosistema tecnologico dare la priorità all'operatività con implementazioni sicure e al disaster recovery utilizzando i meccanismi esistenti".
Aggiornamento
Microsoft ha messo a disposizione un nuovo strumento di ripristino per aiutare gli amministratori IT a riparare i computer Windows colpiti dall'aggiornamento difettoso di CrowdStrike che ha bloccato 8,5 milioni di dispositivi Windows.
CrowdStrike ha inoltre pubblicato un nuovo Remediation and Guidance Hub che funge da sportello unico per tutti i dettagli relativi all'incidente, elencando i modi per identificare gli host colpiti e risolverli, inclusi quelli che sono stati crittografati con BitLocker.
La notizia arriva mentre sono emersi rapporti di aggiornamenti CrowdStrike che hanno causato il blocco simultaneo e l'impossibilità di avvio di tutti i server Debian Linux in un laboratorio tecnologico civico non identificato, nonché kernel panic nelle distribuzioni Red Hat e Rocky Linux.
Per rimanere aggiornato sui più recenti attacchi di hacking e sulle ultime novità in ambito cybersecurity, visita la nostra pagina dedicata. Troverai analisi approfondite e consigli su come proteggerti dalle minacce informatiche.