Спустя пять дней после того, как ошибочное обновление программного обеспечения безопасности Falcon от CrowdStrike парализовало работу миллионов компьютеров Windows по всему миру , киберпреступники и хакеры-активисты воспользовались ситуацией, зарегистрировав новые домены, прикрепив вредоносное ПО к файлам с названиями в стиле CrowdStrike и зафиксировав по крайней мере один очевидный случай стирания данных.
CrowdStrike задокументировала несколько случаев вероятной преступной деятельности, связанной с инцидентом, включая документ Word с похитителем информации Daolpu и zip-файл, нацеленный на клиентов CrowdStrike из Латинской Америки с вредоносным ПО HijackLoader , которое обычно используется для доставки других вредоносных пакетов, а также похититель информации на основе Python, отслеживаемый как «Connecio».
Кроме того, по данным компании-песочницы ANY.RUN , которая назвала это одной из самых «изощренных» атак, связанных со сбоями, фишинговое письмо с PDF-файлом, якобы объясняющим, как исправить проблему с Falcon, возникшую на прошлой неделе, содержало zip-файл , зараженный вредоносным ПО-очистителем.
«Handala Hack», пропалестинский хакер-активист, известный своими атаками на израильские объекты , взял на себя ответственность за атаку с помощью очистителя, упомянутую ANY.RUN. В сообщении в Telegram от 21 июня они заявили, не предоставив доказательств, что атаковали «тысячи сионистских организаций!»
Том Хегель, главный исследователь угроз в SentinelLabs, рассказал CyberScoop, что Handala известна своим «широким спектром действий», ранее проводила атаки с целью уничтожения данных на системах Windows и Linux, а также участвовала в операциях по взлому и утечке данных.
«Хотя группа позиционирует себя как хакерское формирование, существуют предположения о возможной поддержке со стороны Ирана, поскольку мы наблюдаем её активность на Ближнем Востоке с прошлого года», — сказал Хегель. «Точный масштаб этих атак, связанных с CrowdStrike, неясен, однако злоумышленник публично заявил о десятках жертв».
CrowdStrike во вторник не ответила на запрос о комментариях по поводу угроз, использующих ситуацию в своих интересах. В сообщении от 19 июля основатель и генеральный директор CrowdStrike Джордж Курц заявил, что компания осведомлена о том, что «злоумышленники и мошенники будут пытаться использовать подобные события», и призвала клиентов «убедиться, что вы взаимодействуете с официальными представителями CrowdStrike».
Хосе Энрике Эрнандес, директор по исследованию угроз в Splunk, сообщил во вторник на X, что он обнаружил более 2000 доменов, связанных с CrowdStrike, зарегистрированных за последние семь дней. Анализ 25 самых популярных доменов показывает, что «большинство из них выглядят довольно подозрительно», — написал Эрнандес.
Джеймс Спитери, директор по управлению продуктами компании Elastic, написал в воскресенье в LinkedIn , что он задокументировал более 141 сертификата, сгенерированных для доменов, которые выглядят «как (в основном) поддельные [CrowdStrike]. Надеюсь, этот список поможет людям быть бдительными в отношении фишинга». К середине дня во вторник список вырос до 193 .
Вредоносная активность происходит в то время, как клиенты CrowdStrike продолжают восстанавливаться после сбоя, который , по оценкам Microsoft, вывел из строя не менее 8,5 миллионов устройств Windows . Например, авиакомпания Delta Airlines находится под следствием Министерства транспорта после того, как ей пришлось отменить тысячи рейсов из-за сбоя.
Представитель Агентства по кибербезопасности и безопасности инфраструктуры сообщил CyberScoop во вторник, что агентство «тесно сотрудничает с нашим правительством и отраслевыми партнерами, чтобы продолжить смягчать последствия глобального сбоя в работе ИТ-систем».
Представитель не ответил на вопросы о вредоносной деятельности, связанной со сбоем, направленной на федеральные сети, будь то преступной или иной, хотя инцидент вызвал технические неполадки в нескольких федеральных агентствах, сообщило в пятницу агентство FedScoop .
Ранее CISA заявляла, что ей известно о вредоносной активности, связанной с этим событием, что соответствует сообщениям, распространенным должностными лицами по кибербезопасности в Великобритании , Австралии и Канаде .
CrowdStrike задокументировала несколько случаев вероятной преступной деятельности, связанной с инцидентом, включая документ Word с похитителем информации Daolpu и zip-файл, нацеленный на клиентов CrowdStrike из Латинской Америки с вредоносным ПО HijackLoader , которое обычно используется для доставки других вредоносных пакетов, а также похититель информации на основе Python, отслеживаемый как «Connecio».
Кроме того, по данным компании-песочницы ANY.RUN , которая назвала это одной из самых «изощренных» атак, связанных со сбоями, фишинговое письмо с PDF-файлом, якобы объясняющим, как исправить проблему с Falcon, возникшую на прошлой неделе, содержало zip-файл , зараженный вредоносным ПО-очистителем.
«Handala Hack», пропалестинский хакер-активист, известный своими атаками на израильские объекты , взял на себя ответственность за атаку с помощью очистителя, упомянутую ANY.RUN. В сообщении в Telegram от 21 июня они заявили, не предоставив доказательств, что атаковали «тысячи сионистских организаций!»
Том Хегель, главный исследователь угроз в SentinelLabs, рассказал CyberScoop, что Handala известна своим «широким спектром действий», ранее проводила атаки с целью уничтожения данных на системах Windows и Linux, а также участвовала в операциях по взлому и утечке данных.
«Хотя группа позиционирует себя как хакерское формирование, существуют предположения о возможной поддержке со стороны Ирана, поскольку мы наблюдаем её активность на Ближнем Востоке с прошлого года», — сказал Хегель. «Точный масштаб этих атак, связанных с CrowdStrike, неясен, однако злоумышленник публично заявил о десятках жертв».
CrowdStrike во вторник не ответила на запрос о комментариях по поводу угроз, использующих ситуацию в своих интересах. В сообщении от 19 июля основатель и генеральный директор CrowdStrike Джордж Курц заявил, что компания осведомлена о том, что «злоумышленники и мошенники будут пытаться использовать подобные события», и призвала клиентов «убедиться, что вы взаимодействуете с официальными представителями CrowdStrike».
Хосе Энрике Эрнандес, директор по исследованию угроз в Splunk, сообщил во вторник на X, что он обнаружил более 2000 доменов, связанных с CrowdStrike, зарегистрированных за последние семь дней. Анализ 25 самых популярных доменов показывает, что «большинство из них выглядят довольно подозрительно», — написал Эрнандес.
Джеймс Спитери, директор по управлению продуктами компании Elastic, написал в воскресенье в LinkedIn , что он задокументировал более 141 сертификата, сгенерированных для доменов, которые выглядят «как (в основном) поддельные [CrowdStrike]. Надеюсь, этот список поможет людям быть бдительными в отношении фишинга». К середине дня во вторник список вырос до 193 .
Вредоносная активность происходит в то время, как клиенты CrowdStrike продолжают восстанавливаться после сбоя, который , по оценкам Microsoft, вывел из строя не менее 8,5 миллионов устройств Windows . Например, авиакомпания Delta Airlines находится под следствием Министерства транспорта после того, как ей пришлось отменить тысячи рейсов из-за сбоя.
Представитель Агентства по кибербезопасности и безопасности инфраструктуры сообщил CyberScoop во вторник, что агентство «тесно сотрудничает с нашим правительством и отраслевыми партнерами, чтобы продолжить смягчать последствия глобального сбоя в работе ИТ-систем».
Представитель не ответил на вопросы о вредоносной деятельности, связанной со сбоем, направленной на федеральные сети, будь то преступной или иной, хотя инцидент вызвал технические неполадки в нескольких федеральных агентствах, сообщило в пятницу агентство FedScoop .
Ранее CISA заявляла, что ей известно о вредоносной активности, связанной с этим событием, что соответствует сообщениям, распространенным должностными лицами по кибербезопасности в Великобритании , Австралии и Канаде .
