Kwaadwillende actoren maken misbruik van de enorme zakelijke verstoringen als gevolg van CrowdStrike’s glitchy update op vrijdag om bedrijven te targeten met data-wipers en Remote Access Tools.

Terwijl bedrijven op zoek zijn naar hulp om getroffen Windows-hosts te herstellen, hebben onderzoekers en overheidsinstanties een toename van phishing-e-mails waargenomen die proberen te profiteren van de situatie.

Communicatie via officiële kanalen

In een update vandaag zegt CrowdStrike dat het “actief klanten helpt” die getroffen zijn door de recente contentupdate die miljoenen Windows-hosts wereldwijd liet crashen.

Het bedrijf adviseert klanten om te verifiëren dat ze communiceren met legitieme vertegenwoordigers via officiële kanalen aangezien “tegenstanders en kwaadwillende actoren zullen proberen om van situaties als deze te profiteren.”

Het National Cyber Security Center (NCSC) van het VK waarschuwde ook dat het een toename heeft waargenomen van phishing-berichten die proberen te profiteren van de storing.

Het geautomatiseerde malware-analyseplatform AnyRun merkte “een toename van pogingen om CrowdStrike te imiteren, wat mogelijk kan leiden tot phishing” [1, 2, 3].

Malware vermomd als fixes en updates

Op zaterdag meldde cybersecurity-onderzoeker g0njxa voor het eerst een malwarecampagne die klanten van de BBVA bank targette en een nep-CrowdStrike Hotfix-update aanbood die de Remcos RAT installeert.

De nep-hotfix werd gepromoot via een phishing-site, portalintranetgrupobbva[.]com, die zich voordeed als een BBVA Intranet-portal.

In het kwaadaardige archief zitten instructies die medewerkers en partners vertellen de update te installeren om fouten te vermijden bij het verbinden met het interne netwerk van het bedrijf.

“Verplichte update om verbindings- en synchronisatiefouten met het interne netwerk van het bedrijf te vermijden,” leest het ‘instrucciones.txt’-bestand in het Spaans.

AnyRun, die ook tweeten over dezelfde campagne, zei dat de nep-hotfix HijackLoader levert, die vervolgens de Remcos remote access tool op het geïnfecteerde systeem plaatst.

In een andere waarschuwing kondigde AnyRun aan dat aanvallers een data-wiper verspreiden onder het voorwendsel een update van CrowdStrike te leveren.

“Het vernietigt het systeem door bestanden met nul bytes te overschrijven en rapporteert dit vervolgens via #Telegram,” zegt AnyRun.

Deze campagne werd opgeëist door de pro-Iraanse hacktivistengroep Handala, die op Twitter verklaarde dat ze zich voordeden als CrowdStrike in e-mails naar Israëlische bedrijven om de data-wiper te verspreiden.

De kwaadwillende actoren deden zich voor als CrowdStrike door e-mails te sturen vanaf het domein ‘crowdstrike.com.vc,’ waarin klanten werd verteld dat er een tool was gemaakt om Windows-systemen weer online te brengen.

De e-mails bevatten een pdf, gezien door BleepingComputer, die verdere instructies bevat over het uitvoeren van de nep-update, evenals een link om een kwaadaardig ZIP-archief te downloaden van een bestands-hostingservice. Dit zip-bestand bevat een uitvoerbaar bestand met de naam ‘Crowdstrike.exe.’

Nadat de nep-CrowdStrike-update is uitgevoerd, wordt de data-wiper uitgepakt in een map onder %Temp% en gelanceerd om gegevens op het apparaat te vernietigen.

Miljoenen Windows-hosts gecrasht

Het defect in CrowdStrike’s software-update had een enorme impact op Windows-systemen bij tal van organisaties, waardoor het voor cybercriminelen te mooi was om te laten liggen.

Volgens Microsoft veroorzaakte de foutieve update “problemen voor 8,5 miljoen Windows-apparaten, of minder dan één procent van alle Windows-machines.”

De schade gebeurde in 78 minuten, tussen 04:09 UTC en 05:27 UTC.

Ondanks het lage percentage van getroffen systemen en CrowdStrike’s inspanning om het probleem snel recht te zetten, was de impact enorm.

Computercrashes leidden tot de annulering van duizenden vluchten, verstoorden de activiteiten bij financiële bedrijven, legden ziekenhuizen, media-organisaties, spoorwegen en zelfs nooddiensten plat.

In een post-mortem blogpost op zaterdag legt CrowdStrike uit dat de oorzaak van de storing een kanaalbestand (sensorconfiguratie) update was voor Windows-hosts (versie 7.11 en hoger) die een logische fout veroorzaakte die leidde tot een crash.

Hoewel het kanaalbestand dat verantwoordelijk was voor de crashes is geïdentificeerd en geen problemen meer veroorzaakt, kunnen bedrijven die nog steeds moeite hebben om systemen naar normale werking te herstellen de instructies van CrowdStrike volgen om individuele hosts, BitLocker-sleutels en cloud-gebaseerde omgevingen te herstellen.