Компания CrowdStrike опубликовала новый «Центр устранения и руководства» (Remediation and Guidance Hub), в котором собраны подробности, связанные с ошибочным обновлением, которое 19 июля 2024 года вывело из строя 8,5 миллионов компьютеров под управлением Windows по всему миру.
На странице представлена техническая информация о причинах сбоя, пострадавших системах, а также содержится заявление генерального директора Джорджа Курца (George Kurtz). Также на странице размещены ссылки на процессы восстановления ключей Bitlocker и различные страницы сторонних поставщиков по устранению последствий сбоя.
На странице приводится ссылка на статью базы знаний (доступную только для авторизованных клиентов) по использованию загрузочного USB-ключа. 21 июля Microsoft выпустила инструмент, который автоматически удаляет проблемный файл, вызвавшего синий экран смерти на компьютерах.
Угроза Crowdstrike-hotfix.zip и фишинговые атаки
Вчера CrowdStrike также опубликовала сообщение в блоге, предупреждающее, что злоумышленники воспользовались ситуацией для распространения вредоносного ПО, используя «вредоносный ZIP-архив под названием crowdstrike-hotfix.zip»:
Архив ZIP содержит вредоносное ПО HijackLoader, которое при запуске загружает RemCos. Примечательно, что испанские имена файлов и инструкции внутри ZIP-архива указывают на то, что эта кампания, вероятно, нацелена на клиентов CrowdStrike из стран Латинской Америки (LATAM).
После обновления контента было выявлено несколько доменов-тайпосквоттеров, выдающих себя за CrowdStrike. Эта кампания является первым зарегистрированным случаем, когда злоумышленник воспользовался проблемой с контентом Falcon для распространения вредоносных файлов, нацеленных на клиентов CrowdStrike из стран Латинской Америки (LATAM).
Вредоносный ZIP-архив под названием crowdstrike-hotfix.zip имеет SHA256-хэш:
c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2
Помимо распространения вредоносного ПО, киберпреступники также атакуют клиентов CrowdStrike фишинговыми кампаниями. Они рассылают фишинговые электронные письма от имени службы поддержки CrowdStrike, подделываются под сотрудников CrowdStrike в телефонных звонках, выдают себя за независимых исследователей, предлагающих рекомендации по устранению последствий, и даже продают скрипты для автоматизации восстановления от проблем, вызванных обновлением CrowdStrike.
Были созданы следующие вредоносные домены для фишинговых кампаний:
- crowdstrike.phpartners[.]org
- crowdstrike0day[.]com
- crowdstrikebluescreen[.]com
- crowdstrike-bsod[.]com
- crowdstrikeupdate[.]com
- crowdstrikebsod[.]com
- www.crowdstrike0day[.]com
- www.fix-crowdstrike-bsod[.]com
- crowdstrikeoutage[.]info
- www.microsoftcrowdstrike[.]com
- crowdstrikeodayl[.]com
- crowdstrike[.]buzz
- www.crowdstriketoken[.]com
- www.crowdstrikefix[.]com
- fix-crowdstrike-apocalypse[.]com
- microsoftcrowdstrike[.]com
- crowdstrikedoomsday[.]com
- crowdstrikedown[.]com
- whatiscrowdstrike[.]com
- crowdstrike-helpdesk[.]com
- crowdstrikefix[.]com
- fix-crowdstrike-bsod[.]com
- crowdstrikedown[.]site
- crowdstuck[.]org
- crowdfalcon-immed-update[.]com
- crowdstriketoken[.]com
- crowdstrikeclaim[.]com
- crowdstrikeblueteam[.]com
- crowdstrikefix[.]zip
- crowdstrikereport[.]com
CrowdStrike подчеркивает, что организациям следует работать напрямую с представителями CrowdStrike через официальные каналы и использовать только руководства, предоставленные командой поддержки.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах