Betrugswarnung! Cyberkriminelle nutzen CrowdStrike-Ausfall mit Fix-Updates aus, die Malware enthalten

Nach dem CrowdStrike-Ausfall der vergangenen Woche nutzten Cyberkriminelle die Gelegenheit und starteten eine Welle von Social-Engineering-Angriffen, die auf die Kunden des Sicherheitsanbieters abzielten. Auf dieses Ereignis, das den Flugverkehr unterbrach, Geschäfte schloss und medizinische Einrichtungen beeinträchtigte, folgte ein Anstieg der Phishing-Aktivitäten, die von den nationalen Cybersicherheitsbehörden in den USA, Großbritannien, Kanada und Australien gemeldet wurden.

Laut Luigi Lenguito, CEO von BforeAI, sind diese Angriffe nach CrowdStrike deutlich häufiger und gezielter als typische Angriffe nach wichtigen Nachrichtenereignissen. „Beim Angriff auf Trump letzte Woche sahen wir am ersten Tag einen Anstieg von 200 damit verbundenen Cyberbedrohungen, der dann auf 40-50 pro Tag abflachte“, bemerkte Lenguito. „Hier sehen Sie einen dreimal so großen Anstieg. Wir sehen etwa 150 bis 300 Angriffe pro Tag, was nicht das normale Volumen für nachrichtenbezogene Angriffe ist.“

Profil eines CrowdStrike-Betrugs

Die Strategie hinter diesen Betrügereien ist klar: Da die Benutzer vieler großer Unternehmen keine Verbindung zu den Diensten von CrowdStrike herstellen können, nutzen Cyberkriminelle diese Schwachstelle aus. Die gezielte Natur dieser Angriffe unterscheidet sie von anderen thematischen Betrügereien, wie etwa solchen im Zusammenhang mit politischen Ereignissen. Die Opfer sind oft technisch versierter und wissen mehr über Cybersicherheit.

Angreifer haben sich als CrowdStrike, verwandte technische Support-Unternehmen oder sogar als Konkurrenzunternehmen ausgegeben und ihre eigenen „Fixes“ angeboten. Phishing- und Typosquatting-Domänen wie crowdstrikefix[.]com, crowdstrikeupdate[.]com und www.microsoftcrowdstrike[.]com sind aufgetaucht, wobei über 2.000 solcher Domänen identifiziert wurden.

Über diese Domänen werden Schadsoftware verbreitet, darunter eine als Hotfix getarnte ZIP-Datei, die HijackLoader (auch bekannt als IDAT Loader) enthält, das anschließend den RemCos RAT lädt. Diese Datei wurde erstmals aus Mexiko gemeldet und enthielt spanischsprachige Dateinamen, was darauf schließen lässt, dass CrowdStrike-Kunden in Lateinamerika im Fokus stehen.

In einem anderen Fall verschickten Angreifer eine Phishing-E-Mail mit einem schlecht gestalteten PDF-Anhang. Das PDF enthielt einen Link zum Herunterladen einer ZIP-Datei mit einer ausführbaren Datei. Beim Aufruf bat die ausführbare Datei um Erlaubnis, ein Update zu installieren, das sich jedoch als Wiper entpuppte. Die pro-Hamas-Hacktivistengruppe „Handala“ übernahm die Verantwortung und gab an, dass „Dutzende“ israelischer Organisationen dadurch mehrere Terabyte an Daten verloren hätten.

Schutz vor diesen Bedrohungen

Organisationen können sich schützen, indem sie Sperrlisten implementieren, schützende DNS-Tools verwenden und sicherstellen, dass sie nur über die offizielle Website und die Kundendienstkanäle von CrowdStrike Unterstützung suchen . Lenguito geht davon aus, dass sich die Zunahme der Angriffe noch in einem frühen Stadium befindet, aber in den nächsten Wochen wahrscheinlich nachlassen wird. „Im Allgemeinen dauern diese Kampagnen zwei bis drei Wochen“, stellte er fest.

Indem sie wachsam bleiben und sich bei technischem Support auf geprüfte Quellen verlassen, können Unternehmen die Risiken dieser ausgeklügelten und gezielten Phishing-Angriffe mindern.