Os cibercriminosos estão aproveitando o grande apagão cibernético causado pela atualização problemática do CrowdStrike na sexta-feira para atacar empresas com malwares destrutivos e ferramentas de acesso remoto.
Enquanto as empresas buscam ajuda para reparar os hosts Windows afetados, os pesquisadores observaram um aumento significativo nos e-mails de phishing que tentam explorar a situação.

CROWDSTRIKE SE PRONUNCIA

Em uma atualização, a CrowdStrike diz que “está auxiliando ativamente os clientes” prejudicados pela recente atualização do agente Falcon
que paralisou milhões de dispositivos Windows em todo o mundo.

A empresa aconselha os clientes a se atentarem a comunicação com representantes legítimos por meio de canais oficiais, pois “adversários e malfeitores tentarão explorar eventos como esse”.
O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) também alertou que observou um aumento nas mensagens de phishing com o objetivo de tirar vantagem da interrupção.
A plataforma de análise automatizada de malware AnyRun notou “um aumento nas tentativas de personificação do CrowdStrike que podem levar a phishing”.

Distribuição de malwares disfarçados de correções e atualizações

No sábado dia 20/07, o pesquisador de segurança cibernética g0njxa relatou pela primeira vez uma distribuição de malware direcionada aos clientes do banco BBVA que oferecia uma atualização falsa do CrowdStrike Hotfix que instala o Remcos RAT.

O hotfix falso e malicioso foi promovido por meio de um site de phishing, “portalintranetgrupobbva.com”, que fingia ser um portal de intranet do BBVA.

Inclusas no arquivo malicioso estão instruções informando aos colaboradores e parceiros que instalem a atualização para evitar erros ao se conectar à rede interna da empresa.

“Atualização obrigatória para evitar erros de conexão e sincronização com a rede interna da empresa”, diz o arquivo “instrucciones.txt”.

AnyRun, que também tuitou sobre a mesma campanha, disse que o hotfix falso entrega o HijackLoader, que então instala a ferramenta de acesso remoto Remcos no sistema infectado.

A AnyRun também anunciou que os invasores estão distribuindo um limpador se passando por uma atualização do CrowdStrike. “Ele dizima o sistema sobrescrevendo arquivos com zero bytes e então os reporta pelo Telegram”, diz AnyRun .

Esta campanha foi reivindicada pelo grupo hacktivista pró-iraniano Handala, que declarou no Twitter que se passou pela CrowdStrike em e-mails enviados a empresas israelenses para distribuir o limpador de dados.

Os cibercriminosos se passaram pela CrowdStrike enviando e-mails do domínio “crowdstrike.com.vc”, informando aos clientes que uma ferramenta foi criada para colocar os sistemas Windows em funcionamento novamente.

Os e-mails incluem um arquivo PDF visto pelo BleepingComputer que contém mais instruções sobre como executar a atualização falsa, bem como um link para baixar um arquivo ZIP malicioso de um serviço de hospedagem de arquivos. Este arquivo zip contém um executável chamado “Crowdstrike.exe.”

Depois que a atualização falsa é executada, o limpador de dados é extraído para uma pasta em %Temp% e iniciado para destruir os dados armazenados no dispositivo.

Cerca de 8,5 milhões de dispositivos Windows foram afetados

O defeito na atualização do agente Falcon teve um impacto significativo nos sistemas Windows de diversas organizações, deixando uma brecha enorme para cibercriminosos agirem.

De acordo com a Microsoft, a atualização defeituosa “ afetou 8,5 milhões de dispositivos Windows , ou menos de um por cento de todas as máquinas Windows”.

Apesar da baixa porcentagem de sistemas afetados e do esforço da CrowdStrike para corrigir o problema rapidamente, o impacto foi enorme.

Falhas em computadores levaram ao cancelamento de milhares de voos, interromperam atividades em empresas financeiras, derrubaram hospitais, organizações de mídia, ferrovias e até impactaram serviços de emergência.

Como se proteger?

O incidente ocorrido com a CrowdStrike nos mostra que devemos estar sempre alertas e preparados para agir em qualquer tipo de ocasião, para minimizar os danos sofridos e diminuir o tempo de resposta. É de suma importância o investimento em cibersegurança, para que todas as brechas criadas nesses eventos sejam rapidamente resguardadas. Assim como a utilização de ambientes em nuvem que nos proporciona uma maior segurança de dados.

• Pentests: Testes de penetração identificam vulnerabilidades antes que sejam exploradas, permitindo correções preventivas.
• Equipe SOC: Uma equipe qualificada de Security Operations Center (SOC) monitora e responde a incidentes de segurança em tempo real, minimizando o impacto de vazamentos de dados.
• Gerenciamento de Vulnerabilidades: A identificação contínua e a correção rápida de falhas de segurança são essenciais para evitar brechas que possam ser exploradas por atacantes.
• Treinamento e Conscientização: Capacitar os funcionários sobre boas práticas de segurança reduz o risco de erros humanos que podem facilitar vazamentos de dados.
• Monitoramento e Análise de Logs: O monitoramento constante e a análise de logs ajudam a identificar atividades suspeitas e a responder rapidamente a possíveis incidentes.
• CloudSec: A segurança em ambientes de nuvem (CloudSec) oferece proteção adicional e resiliência. Serviços de CloudSec, incluem ferramentas avançadas de segurança, opções de backup e recuperação, e monitoramento contínuo, que são cruciais para a continuidade dos negócios.