I hacker sono già sfruttando laconfusione dovuta all'incidente di CrowdStrike
Hackers stanno mettendo in place siti web falsi intenzionati a attrarre le persone in cerca di informazioni su, o soluzioni, al grande collasso IT mondiale, ma in realtà sono progettati per raccogliere informazioni sui visitatori o per violare i loro dispositivi, come hanno detto gli esperti di sicurezza.
I siti fraudolenti utilizzano nomi di dominio che includono parole chiave come CrowdStrike — la società cibersecurity dietro un aggiornamento software defectuoso che ha causato la crisi — o “schermo blu”, che è quello che i computer colpiti dal guasto CrowdStrike mostrano al boot.
I siti fraudolenti potrebbero tentare di ingannare le vittime offrendo una rapida soluzione al problema CrowdStrike o ingannandole con offerte di falsi cryptocurrency.
Nella circolare sull'incidente, il Dipartimento dell'Omeland Security ha riportato di aver assistito a “attivisti che sfruttano questa situazione per phishing e altre attività maligne”.
“Rimanete attenti e seguite solo istruzioni da fonti ufficiali”, ha detto la circolare emessa dall'Agenzia per la Sicurezza Cibernetica e Infrastrutture di Sicurezza Civile del Dipartimento. CrowdStrike ha emesso sua guida su cosa le organizzazioni possano fare in risposta al problema.
La situazione illustra come un evento volatile e di impatto alto crei secondarie rischi per milioni di persone, poiché i criminali cercano di sfruttare il disastro di CrowdStrike e mentre migliaia di organizzazioni si sforzano di riprendersi dal guasto software di CrowdStrike.
“È una tipica modalità che vediamo seguendo eventi di queste dimensioni”, ha detto Kenn White, ricercatore di sicurezza indipendente specializzato in rete, in un'intervista con CNN. “I criminali sono infaticabili nella loro creatività per sfruttare le persone più vulnerabili”.
Nel corso del blackout venerdì, CrowdStrike stesso ha avvertito di hacker che cercavano di sfruttare la situazione “utilizzando l'evento come un'inganno”. In un post sul blog, CrowdStrike ha detto che i criminali non solo stanno creando siti web falsi ma anche si travestono come rappresentanti di CrowdStrike in chiamate e messaggi di posta elettronica di frode, vendendo software falso in grado di risolvere il guasto.
Un esempio di questo ha colpito clienti di CrowdStrike di lingua spagnola, la società ha detto in un altro post sul blog. L'attacco si presenta nella forma di un file ingannoso chiamato crowdstrike-hotfix.zip. Quando viene aperto, il file installa software malevolo che chiama un server controllato dai hackers e potrebbe essere usato per fornire istruzioni aggiuntive al malware.
Attualmente non esiste una soluzione automatica per ripristinare dal guasto software di CrowdStrike, che gli esperti di sicurezza hanno detto che significa un lungo e arduo recupero che è probabile costi milioni — se non miliardi — di dollari.
“CrowdStrike Intelligence consiglia che le organizzazioni comunichino con i rappresentanti di CrowdStrike attraverso canali ufficiali e seguano le istruzioni tecniche fornite dai team di supporto di CrowdStrike”, ha detto la società.
In alcuni modi, quanto sta accadendo nel cyber space ricorda come la disinformazione e la manipolazione possono sovrapporsi alla comprensione pubblica degli eventi che si svolgono nel mondo fisico.
Gli hacker comunemente tentano di utilizzare storie di notizie alte profilate per indirizzare il traffico loro verso. Ad esempio, dopo il massiccio guasto dati Equifax annunciato nel 2017, le aziende di sicurezza hanno detto di aver osservato cibercriminali inviando centinaia di migliaia di email di frode. Le email si presentavano come banche e cercavano di ingannare vittime ansiosi, poichè, data la notizia di Equifax, potevano essere più probabili di aprire un email dalla loro banca, hanno detto gli esperti all'epoca.
Questi tipi di scam event-driven sono in corso contro il background di un aumento generale di frodi di impersonazione.
Negli ultimi anni, la Federal Trade Commission ha denunciato un aumento di frodi in cui i cibercriminali si travestono da ufficiali o agenzie governative, come l'Internal Revenue Service o l'Amministrazione Sociale, durante la emergenza Covid-19. I creativi hacker hanno addirittura assunto l'aspetto di FTC Chair Lina Khan e inviato messaggi di posta elettronica falsi che falsamente affermavano che l'agenzia stava distribuendo fondi di soccorso pandemico — promettendo ai consumatori di non reagire a quelle messaggi.
Gli americani hanno perso insieme milioni di dollari a queste frodi di impersonazione, secondo la FTC.
In una situazione come quella del blackout CrowdStrike, dove le persone stanno cercando informazioni in un modo urgente, veloce e in cerca di soluzioni, la frode può ingannare persone e organizzazioni benintenzionate e rendere un cattivo affare peggiore.
Le pericoli di frode si sovrappongono ad altri rischi collaterali, come well. Alcune organizzazioni potrebbero decidere di debilitare o addirittura disattivare le loro difese di sicurezza cibernetica mentre stanno cercando di ripristinare le operazioni.
“I clienti inizieranno probabilmente a riprendersi e disattiveranno o modificheranno le loro protezioni CrowdStrike”, ha detto Azim Khodjibaev, ricercatore di sicurezza di Cisco Talos, il braccio di cibersecurity di Cisco, in un post su X. “Questo lascerà una grande folla di persone esposte!”
Se aziende iniziano a cadere vittime di attacchi di phishing che compromettano importanti dati o sistemi chiave, potrebbero avere effetti a cascata per i loro clienti corporati e consumatori, ha avvertito Brett Callow, managing director della pratica di sicurezza cibernetica di FTI Consulting.
“I cattivi attori cercano costantemente di sfruttare gli eventi attuali, quindi non sorprende che stiano cercando di sfruttare questo uno”, ha detto Callow. “E questo, ovviamente, è qualcosa che i clienti di aziende che hanno subito incidenti di alta visibilità devono essere pronti per”.
L'industria tecnologica, in particolare le aziende come CrowdStrike, dovrebbero rafforzare le misure di sicurezza per impedire tali impersonazioni e siti web falsi, poichè i criminali stanno sfruttando il blackout IT di CrowdStrike. Le aziende devono rimanere attente e fidarsi solo di informazioni da fonti ufficiali e legittime per evitare di cadere vittime di questi attacchi di phishing.