CrowdStrike krizi, siber korsanlara da yeni bir kapı açtı

Siber güvenlik şirketi CrowdStrike’ın geçtiğimiz hafta Windows’taki Falcon Sensor aracına yönelik sorunlu bir güncelleme yayınlamasının ardından bankalar, havayolları ve medya şirketleri de dahil olmak üzere çeşitli kuruluşların günlük operasyonlarında büyük aksamalar yaşandı. Bu sorunlu güncelleme, çok sayıda Windows PC’nin 0x50 veya 0x7E Mavi Ekran (BSOD) hata koduyla sürekli olarak yeniden başlatılmasına neden oldu. Sorunun ardından CrowdStrike ve Microsoft, etkilenen müşterilere bilgisayarlarını kurtarmaları için rehberlik sağladı.

Ancak günlük operasyonlarında büyük sorunlar yaşayan kullanıcılar CrowdStrike’dan etkilenen bilgisayarları onarmaya çalışırken, siber suçlular bu kritik durumdan faydalanmanın çeşitli yollarını denemeye başladılar. CrowdStrike, siber suçluların Crowdstrike-hotfix.zip (SHA256 hash: c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2) adlı kötü amaçlı bir ZIP arşivi dağıttığını fark ettiğini söylüyor.

Crowdstrike-hotfix.zip arşivi bir kötü amaçlı yazılım ve RemCos’u yükleyen bir HijackLoader verisi içeriyor. CrowdStrike, ZIP arşivindeki İspanyolca dosya adlarının ve talimatların, bu kampanyanın muhtemelen Latin Amerika merkezli (LATAM) CrowdStrike müşterilerini hedef aldığını gösterdiğine inanıyor.

Siber suçlular, bu kötü amaçlı yazılım dağıtımı kampanyasının yanı sıra kimlik avı kampanyalarıyla da CrowdStrike müşterilerini hedef alıyor. Durumdan faydalanmaya çalışan siber suçlular, CrowdStrike’ın destek hizmeti gibi görünen kimlik avı e-postaları gönderiyorlar, telefon görüşmelerinde CrowdStrike çalışanlarının kimliğine bürünüyorlar, iyileştirme öngörüleri sunmak için bağımsız araştırmacılar gibi davranıyorlar ve hatta CrowdStrike güncelleme sorunundan kurtarmayı otomatikleştirmek için komut dosyaları satıyorlar.

Kimlik avı kampanyaları için yakın zamanda aşağıdaki kötü amaçlı alan adları oluşturuldu:

crowdstrike.phpartners[.]org crowdstrike0day[.]com crowdstrikebluescreen[.]com crowdstrike-bsod[.]com crowdstrikeupdate[.]com crowdstrikebsod[.]com www.crowdstrike0day[.]com www.fix-crowdstrike-bsod[.]com crowdstrikeoutage[.]info www.microsoftcrowdstrike[.]com crowdstrikeodayl[.]com crowdstrike[.]buzz www.crowdstriketoken[.]com www.crowdstrikefix[.]com fix-crowdstrike-apocalypse[.]com microsoftcrowdstrike[.]com crowdstrikedoomsday[.]com crowdstrikedown[.]com whatiscrowdstrike[.]com crowdstrike-helpdesk[.]com crowdstrikefix[.]com fix-crowdstrike-bsod[.]com crowdstrikedown[.]site crowdstuck[.]org crowdfalcon-immed-update[.]com crowdstriketoken[.]com crowdstrikeclaim[.]com crowdstrikeblueteam[.]com crowdstrikefix[.]zip crowdstrikereport[.]com

CrowdStrike, müşterilerine CrowdStrike temsilcileriyle yalnızca resmi kanallar aracılığıyla bağlantı kurmalarını ve CrowdStrike ve Microsoft tarafından sağlanan teknik rehberliğe bağlı kalmalarını tavsiye ediyor. Ayrıca kısa bir süre önce Microsoft, kurtarma sürücülerini içeren otomatik bir yöntem sunmak için kılavuzunu güncelledi.