CrowdStrike предупредила об угрозе Crowdstrike-hotfix.zip, фишинговых атаках и запустила портал по устранению последствий сбоя Windows

2024-07-22 1700 комментарии
CrowdStrike предупредила об угрозе фишинговых атак и использовании злоумышленниками вредоносного архива Crowdstrike-hotfix.zip. В ответ компания запустила «Информационный центр», чтобы помочь устранить последствия сбоя Windows, который затронул 8,5 млн компьютеров.

Компания CrowdStrike опубликовала новый «Центр устранения и руководства» (Remediation and Guidance Hub), в котором собраны подробности, связанные с ошибочным обновлением, которое 19 июля 2024 года вывело из строя 8,5 миллионов компьютеров под управлением Windows по всему миру.

Примечание. CrowdStrike заблокировала официальный сайт для пользователей из России. Для доступа вы можете использовать Comss.one DNS

На странице представлена техническая информация о причинах сбоя, пострадавших системах, а также содержится заявление генерального директора Джорджа Курца (George Kurtz). Также на странице размещены ссылки на процессы восстановления ключей Bitlocker и различные страницы сторонних поставщиков по устранению последствий сбоя.

На странице приводится ссылка на статью базы знаний (доступную только для авторизованных клиентов) по использованию загрузочного USB-ключа. 21 июля Microsoft выпустила инструмент, который автоматически удаляет проблемный файл, вызвавшего синий экран смерти на компьютерах.

Угроза Crowdstrike-hotfix.zip и фишинговые атаки

Вчера CrowdStrike также опубликовала сообщение в блоге, предупреждающее, что злоумышленники воспользовались ситуацией для распространения вредоносного ПО, используя «вредоносный ZIP-архив под названием crowdstrike-hotfix.zip»:

Архив ZIP содержит вредоносное ПО HijackLoader, которое при запуске загружает RemCos. Примечательно, что испанские имена файлов и инструкции внутри ZIP-архива указывают на то, что эта кампания, вероятно, нацелена на клиентов CrowdStrike из стран Латинской Америки (LATAM).

После обновления контента было выявлено несколько доменов-тайпосквоттеров, выдающих себя за CrowdStrike. Эта кампания является первым зарегистрированным случаем, когда злоумышленник воспользовался проблемой с контентом Falcon для распространения вредоносных файлов, нацеленных на клиентов CrowdStrike из стран Латинской Америки (LATAM).

Вредоносный ZIP-архив под названием crowdstrike-hotfix.zip имеет SHA256-хэш:

c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2

Помимо распространения вредоносного ПО, киберпреступники также атакуют клиентов CrowdStrike фишинговыми кампаниями. Они рассылают фишинговые электронные письма от имени службы поддержки CrowdStrike, подделываются под сотрудников CrowdStrike в телефонных звонках, выдают себя за независимых исследователей, предлагающих рекомендации по устранению последствий, и даже продают скрипты для автоматизации восстановления от проблем, вызванных обновлением CrowdStrike.

Были созданы следующие вредоносные домены для фишинговых кампаний:

  • crowdstrike.phpartners[.]org
  • crowdstrike0day[.]com
  • crowdstrikebluescreen[.]com
  • crowdstrike-bsod[.]com
  • crowdstrikeupdate[.]com
  • crowdstrikebsod[.]com
  • www.crowdstrike0day[.]com
  • www.fix-crowdstrike-bsod[.]com
  • crowdstrikeoutage[.]info
  • www.microsoftcrowdstrike[.]com
  • crowdstrikeodayl[.]com
  • crowdstrike[.]buzz
  • www.crowdstriketoken[.]com
  • www.crowdstrikefix[.]com
  • fix-crowdstrike-apocalypse[.]com
  • microsoftcrowdstrike[.]com
  • crowdstrikedoomsday[.]com
  • crowdstrikedown[.]com
  • whatiscrowdstrike[.]com
  • crowdstrike-helpdesk[.]com
  • crowdstrikefix[.]com
  • fix-crowdstrike-bsod[.]com
  • crowdstrikedown[.]site
  • crowdstuck[.]org
  • crowdfalcon-immed-update[.]com
  • crowdstriketoken[.]com
  • crowdstrikeclaim[.]com
  • crowdstrikeblueteam[.]com
  • crowdstrikefix[.]zip
  • crowdstrikereport[.]com

CrowdStrike подчеркивает, что организациям следует работать напрямую с представителями CrowdStrike через официальные каналы и использовать только руководства, предоставленные командой поддержки.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте