Яд вместо лекарства: хакеры используют сбой CrowdStrike для новой атаки
Страны Латинской Америки оказались в эпицентре второй волны цифрового хаоса.
Компания CrowdStrike, ставшая причиной недавнего глобального сбоя IT-систем из-за проблемного обновления Falcon Sensor, теперь предупреждает, что многочисленные злоумышленники используют сложившуюся ситуацию для распространения вируса Remcos RAT среди клиентов компании в Латинской Америке.
Злоумышленники активно распространяют ZIP-архив под названием «crowdstrike-hotfix.zip», — который якобы должен наладить работу пострадавших компьютеров. На самом же деле архив содержит вредоносный загрузчик Hijack Loader (также известный как DOILoader или IDAT Loader), который, в свою очередь, скачивает и запускает вредоносную программу Remcos RAT, лишь усугубляя и без того плачевную ситуацию с нерабочими компьютерами.
Архив также включает текстовый файл («instrucciones.txt») с инструкциями на испанском языке, в котором пользователям предлагается запустить исполняемый файл («setup.exe») для устранения проблемы. Эксперты CrowdStrike сообщают, что испанские имена файлов и инструкции в архиве явно указывают на то, что эта вредоносная кампания направлена на клиентов CrowdStrike в Латинской Америке.
Для тех, кто пропустил события прошлой недели, кратко напомним: в пятницу, 19 июля, обновление конфигурации, выпущенное для платформы CrowdStrike Falcon, вызвало на устройствах Windows логическую ошибку, которая привела к массовому появлению «синего экрана смерти» (BSoD). Инцидент затронул миллионы физических компьютеров и виртуальных машин в десятках стран мира. Россия в их число не вошла, так как не пользуется ИБ-решениями от CrowdStrike.
Злоумышленники оперативно воспользовались начавшимся хаосом, создавая десятки поддельных доменов, имитирующих компанию CrowdStrike, и предлагая пострадавшим компаниям «свои услуги» в обмен на криптовалюту.
Всем пострадавшим от сбоя Windows клиентам рекомендуется убедиться, что они точно общаются с представителями CrowdStrike через официальные каналы и следуют техническим рекомендациям, предоставленным настоящей службой поддержки.
Компания Microsoft, которая активно сотрудничает с CrowdStrike в устранении последствий инцидента, ранее сообщила, что цифровой сбой затронул 8,5 миллионов устройств по всему миру. Это хоть и составляет менее одного процента всех устройств на Windows, всё равно пугающе много.
«Этот инцидент демонстрирует взаимосвязанность нашей широкой экосистемы — глобальных облачных провайдеров, программных платформ, поставщиков безопасности и других поставщиков программного обеспечения, а также рядовых клиентов», — заявила Microsoft. «Это также напоминание о важности приоритизации безопасного развёртывания и восстановления после катастроф с использованием существующих программных механизмов».
Также 20 июля Microsoft выпустила свой собственный инструмент восстановления, чтобы помочь IT-администраторам быстрее восстановить пострадавшие устройства. Компания CrowdStrike, в свою очередь, оперативно собрала в одном месте все необходимые рекомендации и руководства по восстановлению.