Les acteurs de la menace exploitent la perturbation commerciale massive de la mise à jour glitchy de CrowdStrike vendredi pour cibler les entreprises avec des effaceurs de données et des outils d’accès à distance.
Alors que les entreprises recherchent de l’aide pour réparer les hôtes Windows affectés, les chercheurs et les agences gouvernementales ont repéré une augmentation des e-mails de phishing essayant de tirer parti de la situation.
Communication officielle par canal
Dans une mise à jour aujourd’hui, CrowdStrike dit qu’il “aide activement les clients” touchés par la récente mise à jour de contenu qui a fait planter des millions d’hôtes Windows dans le monde entier.
L’entreprise conseille aux clients de vérifier qu’ils communiquent avec des représentants légitimes par les canaux officiels, car “les adversaires et les mauvais acteurs essaieront d’exploiter des événements comme celui-ci.”
“J’encourage tout le monde à rester vigilant et à s’assurer que vous interagissez avec les représentants officiels de CrowdStrike. Notre blog et notre support technique continueront d’être les canaux officiels pour les dernières mises à jour » – George Kurtz, PDG de CrowdStrike
Le Centre national de cybersécurité du Royaume-Uni (NCSC) a également averti qu’il avait observé une augmentation des messages de phishing visant à tirer parti de la panne.
La plateforme d’analyse automatisée des logiciels malveillants AnyRun a remarqué “une augmentation des tentatives d’usurpation d’identité CrowdStrike pouvant potentiellement conduire à du phishing » [1, 2, 3].
Logiciels malveillants masqués sous forme de correctifs et de mises à jour
Samedi, AnyRun a rapporté que des acteurs malveillants avaient commencé à exploiter l’incident de CrowdStrike pour livrer HijackLoader, qui a laissé tomber l’outil d’accès à distance Remcos sur le système infecté.
Pour inciter les victimes à installer le logiciel malveillant, l’auteur de la menace a déguisé la charge utile du chargeur pirate de l’air dans une archive WinRAR en promettant de fournir un correctif à partir de CrowdStrike.
Dans un autre avertissement, Any Run a annoncé que les attaquants distribuaient également un essuie-glace de données sous prétexte de fournir une mise à jour de CrowdStrike.
“Il décime le système en écrasant les fichiers avec zéro octet, puis le signale via # Telegram » – dit AnyRun.
Dans un autre exemple, la plate-forme d’analyse des logiciels malveillants note que les cybercriminels ont commencé à diffuser d’autres types de logiciels malveillants se faisant passer pour des mises à jour CrowdStrike ou des corrections de bogues.
Un exécutable malveillant a été livré via un lien dans un fichier PDF contenant des parties de la mise à jour officielle de CrowdStrike. L’URL a conduit à une archive nommée update.zip contenant l’exécutable malveillant CrowdStrike.exé.
Des millions d’hôtes Windows se sont écrasés
Le défaut de la mise à jour logicielle de CrowdStrike a eu un impact considérable sur les systèmes Windows de nombreuses organisations, ce qui en fait une trop bonne opportunité pour les cybercriminels de passer.
Selon Microsoft, la mise à jour défectueuse “a affecté 8,5 millions d’appareils Windows, soit moins d’un pour cent de toutes les machines Windows.”
Les dégâts se sont produits en 78 minutes, entre 04h09 UTC et 05h27 UTC.
Malgré le faible pourcentage de systèmes affectés et les efforts de CrowdStrike pour corriger rapidement le problème, l’impact a été énorme.
Des pannes informatiques ont entraîné l’annulation de milliers de vols, perturbé l’activité des sociétés financières, fait tomber des hôpitaux, des médias, des chemins de fer et même affecté les services d’urgence.
Dans un article de blog post-mortem samedi, CrowdStrike explique que la cause de la panne était une mise à jour du fichier de canal (configuration du capteur) vers les hôtes Windows (version 7.11 et supérieure) qui a déclenché une erreur logique conduisant à un plantage.
Bien que le fichier de canal responsable des plantages ait été identifié et ne pose plus de problèmes, les entreprises qui ont encore du mal à restaurer les systèmes à des opérations normales peuvent suivre les instructions de CrowdStrike pour récupérer des hôtes individuels, des clés BitLocker et des environnements basés sur le cloud.