Come noto, CrowdStrike, una delle principali aziende di sicurezza informatica, ha affrontato un grave problema causato da un aggiornamento difettoso del loro software di sicurezza Falcon Sensor. Questo aggiornamento ha provocato il blocco di milioni di dispositivi Windows in tutto il mondo, causando la visualizzazione di una schermata BSoD sui sistemi Windows con interruzioni significative in vari settori, tra cui trasporti, banche e media.
L’incidente
L’aggiornamento difettoso è stato rilasciato il 19 luglio 2024, e ha rapidamente mostrato i suoi effetti negativi. Gli utenti hanno iniziato a segnalare problemi di blocco dei dispositivi, rendendo impossibile l’accesso e l’uso dei sistemi. Questo ha portato a interruzioni operative in molte aziende, con conseguenti perdite economiche e disagi per gli utenti finali.
La reazione di CrowdStrike
CrowdStrike ha risposto prontamente all’incidente, riconoscendo il problema e lavorando attivamente per risolverlo. Ha rilasciato una correzione per il software, cercando di minimizzare i danni e ripristinare la funzionalità dei dispositivi colpiti, anche se l’incidente ha sollevato serie preoccupazioni sulla sicurezza e l’affidabilità degli aggiornamenti software in generale e sulle gravi conseguenze a livello globale che un errore di programmazione possa comportare in un ecosistema sempre più interconnesso.
Opportunità per il cybercrime
Nonostante l’incidente non sia stato un attacco informatico, alcuni cyber criminali hanno cercato di sfruttare la situazione. Hanno registrato nuovi domini a tema CrowdStrike, progettati per ingannare gli utenti e indurli a scaricare malware o fornire informazioni sensibili tramite phishing, diffondendo false procedure di workaround.
Decine i domini identificati il 19 luglio 2024, che hanno impersonato illecitamente il marchio di CrowdStrike tramite tecniche typosquatting.
“Sappiamo che gli avversari e i malintenzionati cercheranno di sfruttare eventi come questo.“, afferma George Kurtz Fondatore e CEO di CrowdStrike “Incoraggio tutti a rimanere vigili e ad assicurarsi di interagire con i rappresentanti ufficiali di CrowdStrike. Il nostro blog e il supporto tecnico continueranno a essere i canali ufficiali per gli ultimi aggiornamenti“
Il malware Remcos RAT
Uno dei malware distribuiti sfruttando l’incidente di CrowdStrike è stato Remcos RAT (Remote Access Trojan). Questo malware è stato diffuso tramite un archivio ZIP denominato “crowdstrike-hotfix.zip“, che conteneva un loader di malware chiamato Hijack Loader. Questo loader, a sua volta, lanciava il payload Remcos RAT.
“Le istruzioni in spagnolo allegate al file ZIP sembrano rappresentare una utility per automatizzare il ripristino per il problema di aggiornamento del contenuto.”, spiega CrowdStrike, “Le istruzioni richiedono all’utente di eseguire Setup.exe (SHA256 hash: 5ae3838d77c2102766538f783d0a4b4205e7d2cdba4e0ad2ab332dc8ab32fea9) per avviare l’installazione della patch.”.
Anche un data wiper tra i malware distribuiti
In un altro avviso, AnyRun ha annunciato che gli attaccanti stanno distribuendo anche un data wiper con il pretesto di fornire un aggiornamento CrowdStrike.
Quale insegnamento
L’incidente di CrowdStrike evidenzia l’importanza di una gestione attenta e sicura degli aggiornamenti software. Gli utenti devono rimanere vigili e informati, soprattutto in situazioni di crisi, anche per evitare di cadere vittime di attacchi di phishing e altre minacce informatiche che sfruttano questi eventi.
Nel frattempo il Cert-AgiD ha emesso un comunicato aggiornando costantemente il flusso di IoC del caso da inviare alle pubbliche amministrazioni accreditate:
“Consigliamo vivamente di non seguire siti o canali non verificati per risolvere il problema, ma di fare riferimento esclusivamente alle istruzioni fornite dai canali ufficiali.
- https://status.cloud.microsoft/
- https://azure.status.microsoft/en-gb/status
- https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/“
Aggiornamenti
Il 22 luglio 2024, CrowdStrike Intelligence ha identificato un documento Word contenente macro che scaricano uno stealer non identificato, ora tracciato come Daolpu . Il documento impersona un manuale di ripristino Microsoft.
Il 23 luglio 2024, CrowdStrike Intelligence ha identificato un file ZIP dannoso contenente un infostealer basato su Python, ora tracciato come Connecio, propinato come aggiornamento che corregge il difetto Falcon.