Tehdit aktörleri, CrowdStrike'ın Cuma günkü aksaklık güncellemesinden veri silecekleri ve uzaktan erişim araçları olan şirketleri hedeflemek için büyük iş aksamalarından yararlanıyor.
İşletmeler etkilenen Windows sunucularını düzeltmek için yardım ararken, araştırmacılar ve devlet kurumları, durumdan yararlanmaya çalışan kimlik avı e -postalarında bir artış olduğunu tespit ettiler.
Bugün bir güncellemede Crowdstrike, dünya çapında milyonlarca Windows ana bilgisayarlarını çökerten son içerik güncellemesinden etkilenen "müşterilere aktif olarak yardımcı olduğunu" söylüyor.
Şirket, müşterilere resmi kanallar aracılığıyla meşru temsilcilerle iletişim kurduklarını doğrulamalarını tavsiye eder, çünkü "düşmanlar ve kötü aktörler bu tür olaylardan yararlanmaya çalışacaktır."
“Herkesi uyanık kalmaya ve resmi Crowdstrike temsilcileriyle etkileşime girmenizi sağlamaya teşvik ediyorum. Blogumuz ve teknik desteğimiz en son güncellemelerin resmi kanalları olmaya devam edecek ” - George Kurtz, Crowdstrike CEO'su
İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), kesintiden yararlanmayı amaçlayan kimlik avı mesajlarında bir artış gözlemlediği konusunda uyardı.
Otomatik kötü amaçlı yazılım analiz platformu Anyrun "potansiyel olarak kimlik avına yol açabilecek ve potansiyel olarak kimlik avına yol açabilecek girişimlerde bir artış" fark etti [1, 2, 3].
Cumartesi günü, Siber Güvenlik Araştırmacısı G0NJXA ilk olarak Remcos Ratını yükleyen sahte bir Crowdstrike Hotfix güncellemesi sunan BBVA Bank müşterilerini hedefleyen bir kötü amaçlı yazılım kampanyası bildirdi.
Sahte hotfix, bir BBVA intranet portalı gibi davranan bir kimlik avı sitesi PortalinTranetGrupobbva [.] Com aracılığıyla tanıtıldı.
Kötü niyetli arşivde, çalışanlara ve ortaklara şirketin dahili ağına bağlanırken hataları önlemek için güncellemeyi yüklemelerini söyleyen talimatlardır.
"Şirketin dahili ağına bağlantı ve senkronizasyon hatalarını önlemek için zorunlu güncelleme", İspanyolca'daki 'Instrucciones.txt' dosyasını okuyor.
Aynı kampanya hakkında da tweet atan Anyrun, sahte hotfix'in hızla enfekte olmuş sistemdeki Remcos uzaktan erişim aracını düşürdüğünü söyledi.
Başka bir uyarıda Anyrun, saldırganların CrowdStrike'tan bir güncelleme sunma iddiası altında bir veri silecek dağıttığını açıkladı.
AnyRun, "Sıfır baytlı dosyaların üzerine yazarak sistemi yok ediyor ve daha sonra #Telegram üzerinden rapor ediyor." Diyor.
Bu kampanya, Twitter'da veri sileceklerini dağıtmak için İsrail şirketlerine e-postalarda crowdstrike'ı taklit ettiklerini belirten İran yanlısı Hacktivist grup Handala tarafından talep edildi.
Tehdit aktörleri, müşterilere Windows sistemlerini çevrimiçi hale getirmek için bir araç oluşturulduğunu söyleyen 'crowdstrik.com.vc' alanından e -posta göndererek CrowdStrike'ı taklit etti.
E -postalar, BleepingComputer tarafından sahte güncellemeyi çalıştırma hakkında daha fazla talimat içeren bir PDF ve bir dosya barındırma hizmetinden kötü amaçlı bir fermuar arşivi indirmek için bir bağlantı içerir. Bu zip dosyası 'crowdstrike.exe' adlı bir yürütülebilir ürün içerir.
Sahte CrowdStrike güncellemesi yürütüldükten sonra, veri silecek % % sıcaklık altında bir klasöre çıkarılır ve cihazda depolanan verileri yok etmek için başlatılır.
CrowdStrike’ın yazılım güncellemesindeki kusurun çok sayıda kuruluştaki Windows sistemleri üzerinde büyük bir etkisi oldu, bu da siber suçluların geçmesi için çok iyi bir fırsat sağladı.
Microsoft'a göre, hatalı güncelleme “8,5 milyon pencere cihazını etkiledi veya tüm Windows makinelerinin yüzde birinden daha azı”.
Hasar 78 dakika içinde 04:09 UTC ve 05:27 UTC arasında gerçekleşti.
Etkilenen sistemlerin ve Crowdstrike’ın sorunu hızlı bir şekilde düzeltme çabalarının düşük yüzdesine rağmen, etki çok büyüktü.
Bilgisayar kazaları, binlerce uçuşun iptal edilmesine, finans şirketlerinde faaliyetin bozulmasına, hastaneleri, medya kuruluşlarını, demiryollarını ve hatta etkilenen acil servisleri düşürmesine yol açtı.
Cumartesi günü mortem sonrası blog yayınında Crowdstrike, kesintinin nedeninin, bir kazaya yol açan bir mantık hatasını tetikleyen Windows ana bilgisayarlarına (sürüm 7.11 ve üstü) bir kanal dosyası (sensör yapılandırması) güncellemesi olduğunu açıklıyor.
Kazalardan sorumlu kanal dosyası tanımlanmış ve artık sorunlara neden olmasa da, sistemleri normal işlemlere geri yüklemek için mücadele eden şirketler, Crowdstrike'ın bireysel ana bilgisayarları, bitlocker tuşlarını ve bulut tabanlı ortamları kurtarmak için talimatlarını takip edebilir.
Crowdstrike güncellemesi Windows sistemlerini çöker, dünya çapında kesintilere neden olur
Microsoft, Crowdstrike sürücüsünü kaldırmak için Windows Onarım aracını serbest bıraktı
Microsoft, Crowdstrike güncellemesinin Windows 365 PC'lerini de onayladı
Azure yapılandırma değişikliğinin neden olduğu büyük Microsoft 365 kesinti
Microsoft: Windows 11 23H2 Artık tüm uygun cihazlar için kullanılabilir
Kaynak: Bleeping Computer