Come i criminali informatici stanno approfittando del caso Crowdstrike

E' certo che il caso Crowdstrike sia tra gli incidenti più gravi che si sono registrati negli ultimi tempi e che sarà necessario confrontarsi con i problemi che ha determinato ancora per un lungo periodo. CrowdStrike ha lanciato un’allerta, subito dopo l’incidente, riguardo al modo in cui attori malevoli stanno provando a sfruttare la situazione di caos determinata dall’aggiornamento difettoso del software per distribuire un codice malevolo. 

Stando a quanto riferisce la società americana, criminali informatici hanno infatti provato a diffondere il Remcos RAT ai clienti della società di cybersecurity in America Latina, presentandosi come se stessero offrendo una soluzione di emergenza per il problema. Gli attaccanti hanno, in questo caso specifico, cercato di ingannare i clienti di CrowdStrike inducendoli ad aprire un file ZIP (“crowdstrike-hotfix.zip”). Questo archivio contiene un loader, noto come Hijack Loader, utilizzato per eseguire il Remcos RAT. Hijack Loader, pubblicizzato come un servizio di crittografia privato chiamato ASMCrypt, è un software per caricare altri codici malevoli eludendo la rilevazione da parte dei sistemi anti malware.

Attacchi che "capitalizzano" l'incidente

Lo scorso 19 luglio, un utente messicano ha caricato l’archivio in formato ZIP denominato crowdstrike-hotfix.zip su un servizio di scansione malware online. Un file nell'archivio, chiamato “instrucciones.txt,” scritto in spagnolo, contiene false istruzioni per il recupero dei sistemi colpiti dall'aggiornamento difettoso. Il file istruisce i destinatari ad eseguire un file dal nome “Setup.exe” per correggere il problema. Tuttavia eseguendo il file si darebbe il via al processo di infestione.

Si tratta del primo caso segnalato di attacchi che hanno cercato di capitalizzare l'incidente di CrowdStrike. Alcuni attaccanti, sempre a seguito dell'incidente, hanno anche creato diversi domini di typosquatting che impersonano CrowdStrike. Questi domini sono stati utilizzati per pubblicizzare servizi a aziende colpite dall'incidente in cambio di un pagamento in criptovaluta.

“L'outage di Crowdstrike ci pone di fronte ad una infodemia sfruttata dagli attori malevoli per insinuarsi nei nostri sistemi. Poche manciate di ore fa abbiamo ricevuto l'allarme di campagne di attacco basate su e-mail che fingevano di essere comunicazioni ufficiali della compagnia di sicurezza statunitense. Ma ora la situazione sta peggiorando rapidamente, sempre più criminali stanno cavalcando l'onda del blackout informatico e sono sempre più pericolosi”, sottolinea Luca Mella, Esperto di Cyber Security e di Intelligence.

“Ad esempio abbiamo intercettato una serie di campagne email orchestrate dai cyber miliziani filo palestinesi di "Handala", gruppo hacker che dall'estate sta prendendo di mira strutture israeliane in risposta alle operazioni cinetiche dell'IDF. I cyber-terroristi di Handala stanno sfruttando il caso Crowdstrike per inoculare un codice malevolo di tipo "Wiper" in numerose organizzazioni. Questi "Wiper" sono estremamente pericolosi, una volta che atterrano su di un pc e vengono aperti da un utente, distruggono rapidamente tutto il contenuto della macchina e della rete senza possibilità di recupero.”

Previsioni per il breve termine

Gli attori di minacce potrebbero sfruttare il caos come una tattica di diversione. I team di difesa sono impegnati a ripristinare i sistemi compromessi e loro potrebbero lanciare attacchi furtivi e sofisticati, infiltrando le aziende impegnate delle attività di recupero dei propri sistemi. I team di difesa delle organizzazioni colpite potrebbero essere meno reattivi a causa degli sforzi profusi nelle attività recupero. Gli attaccanti possono anche lanciare attacchi di spear-phishing, inviando email di phishing mirate fingendosi CrowdStrike per rubare credenziali o diffondere malware. Attacchi come quello contro i clienti in America latina potrebbero moltiplicarsi nelle prossime ore.

Attori nation-state che operano per conto di stati ostili possono diffondere disinformazione sull'incidente per minare la fiducia nei prodotti di CrowdStrike e nell'industria della cybersecurity occidentale.

L’azienda raccomanda alle organizzazioni di assicurarsi di comunicare con i suoi rappresentanti solo attraverso canali ufficiali e di seguire le istruzioni incluse nella guida tecnica fornita dai team di supporto ufficiali. L’alert di Crowdstrike evidenzia come gli attori malevoli siano pronti a sfruttare l’attenzione mediatica nel caso per lanciare attacchi mirati. È fondamentale che le organizzazioni rimangano vigili e adottino misure proattive per proteggere i propri sistemi e dati. La consapevolezza e la formazione del personale sono essenziali per prevenire che tali attacchi abbiano successo.

(Articolo di di Pierluigi Paganini, Repubblica; Fonte immagine: Repubblica)