Несколько дней назад во всем мире произошел глобальный сбой в работе организаций из-за проблемного обновления Falcon Sensor для Windows от компании CrowdStrike. Этим воспользовались хакеры. Они начали распространять вредоносный файл под названием Crowdstrike-hotfix.zip. Этот архив содержит HijackLoader, который загружает вредоносное ПО RemCo.
CrowdStrike подозревает, что целевая аудитория хакерской атаки — пользователи из Латинской Америки, о чем свидетельствуют испанские инструкции и названия файлов в архиве.
Киберпреступники также проводят фишинговые кампании, отправляя письма от имени службы техподдержки, совершая звонки и притворяясь независимыми исследователями. Они предлагают помощь в устранении сбоев. Помимо этого, они продают сценарии для автоматизации восстановления систем.
Для фишинговых атак были молниеносно созданы многочисленные домены, такие как crowdstrike.phpartners_._org, crowdstrike0day_._com, fix-crowdstrike-bsod_._com (ссылки изменены для вашей безопасности) и многие другие.
Злоумышленники также распространяют вредоносное ПО под видом обновления от CrowdStrike. Это ПО уничтожает операционную систему, перезаписывая файлы нулевыми байтами, а затем сообщает об этом через Telegram. Хакерская группа Handala взяла на себя ответственность за эту кампанию. Они рассылали письма с домена crowdstrike_._com_._vc (ссылка изменена) с предложением инструмента для восстановления Windows. В письмах содержались инструкции и ссылка на загрузку вредоносного архива с исполняемым файлом crowdstrike.exe. Этот файл извлекает программу для уничтожения данных в папку %Temp% и запускает её.
CrowdStrike рекомендовал своим клиентам обращаться в компанию только через официальные каналы и следовать техническим рекомендациям, предоставленным CrowdStrike и Microsoft напрямую. Microsoft недавно выпустила руководство, предлагающее автоматизированный метод восстановления систем с помощью загрузочного USB-накопителя и скрипта MsftRecoveryToolForCS.ps1.
Восстановление IT-систем после сбоя ПО CrowdStrike в некоторых компаниях может занять несколько недель.
Читайте в блоге: