Güvenlik kuruluşları, 19 Temmuz Microsoft kesintisinden kaynaklanan en acil tehdidin fırsatçı siber suçlular olduğu konusunda uyarıyor. Kesinti, siber güvenlik firması CrowdStrike’ın bir güncelleme sırasında yaptığı bir hatanın sonucu olarak dünya çapında milyonlarca makinenin çökmesine neden oldu.
Yıllardır defalarca görüldüğü üzere, kötü niyetli aktörler büyük olayları istismar etmekte hızlı davrandılar; yakın tarihte, 2024 Birleşik Krallık Genel Seçimi; son birkaç yıldır yaşanan hayat pahalılığı krizi; ve 2020 ve 2021’de Covid-19 salgını, hepsi bu şekilde hızla istismar edildi.
İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), kesintilerin bir güvenlik olayı veya kötü niyetli bir faaliyetin sonucu olmadığı konusunda hemfikir olsa da, kuruluşların yine de yüksek alarmda olması gerektiğini belirtti.
NCSC bir bildiride, “Bu kesintiye atıfta bulunan kimlik avında bir artış gözlemlendi, çünkü fırsatçı kötü niyetli aktörler durumdan faydalanmaya çalışıyor. Bu hem kuruluşları hem de bireyleri hedef alabilir” dedi.
“Kuruluşlar, çok katmanlı kimlik avı önlemlerinin yerinde olduğundan emin olmak için NCSC rehberliğini incelemeli, bireyler ise bu konudaki şüpheli e-postalara veya mesajlara karşı dikkatli olmalı ve nelere dikkat etmeleri gerektiğini bilmelidir.”
Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), NCSC’nin uyarılarını yineledi: “Siber tehdit aktörleri, kimlik avı girişimleri de dahil olmak üzere kötü amaçlı faaliyetler yürütmek için kesintiyi kullanmaya devam ediyor. CISA, ortaya çıkan kötü amaçlı faaliyetleri aktif olarak izlemek için CrowdStrike ve diğer özel sektör ve hükümet ortaklarıyla yakın bir şekilde çalışmaya devam ediyor.”
Avustralya Siber Güvenlik Merkezi (ACSC) ise şüpheli faaliyetlere ilişkin raporlar gördüğünü söyledi.[We] CrowdStrike teknik olayının neden olduğu yaygın kesintilerden kurtulmak için kuruluşlara yardımcı olma iddiasıyla bir dizi kötü amaçlı web sitesi ve resmi olmayan kodun yayınlandığını anlıyoruz” denildi.
ReliaQuest araştırmacıları, finansal amaçlı tehdit aktörlerinin önümüzdeki günlerde ve haftalarda bireylere ve kurumlara yönelik hedefli saldırılar başlatmak için bu karışıklıktan ve endişeden kesinlikle yararlanacağını söylüyor.
Ekip, bir danışma blog yazısında “Kullanıcıları kötü amaçlı yazılım indirmeye ve kimlik bilgilerini ele geçirmeye kandırmak için kimlik avı kampanyaları yürütebilirler” diye yazdı.
“Ayrıca, kurbanları aldatmak ve manipüle etmek için BT personeli gibi davranarak sosyal mühendislik saldırıları gerçekleştirebilirler… Saldırganların durumdan faydalanmasının birçok başka yolu vardır. Kuruluşlar bu artan tehdidi fark etmeli ve bu fırsatçı istismarlara karşı korunmak için resmi düzeltme tavsiyelerine sıkı sıkıya uymalıdır.”
ReliaQuest ekibi ayrıca en az bir kişinin karanlık web forumunda olaydan sorumlu olduğunu iddia etmeye çalıştığını, ancak iddialarını doğrulayacak kanıtları forum moderatörlerine sunamadığı için forumdan atıldığını ve yasaklandığını bildirdi.
CrowdStrike, dolaşan sahte güncellemeleri doğruladı
CrowdStrike, dolaşan bazı kötü amaçlı kod örneklerini tespit ettiğini, bunların arasında crowdstrike-hotfix.zip adını taşıyan kötü amaçlı bir ZIP arşivinin de bulunduğunu söyledi.
CrowdStrike Intelligence ekibine göre, bu arşiv, içeriğinin içerik güncelleme sorunu için kurtarmayı otomatikleştirecek bir yardımcı program olduğu anlamına gelen İspanyolca talimatlarla birlikte geliyor.
Aslında arşiv, yürütüldüğünde Remcos uzaktan erişim Truva Atı’nı (RAT) yükleyen bir HijackLoader yükü içeriyor. Arşiv ilk olarak 19 Temmuz’da Meksika merkezli bir gönderici tarafından çevrimiçi bir kötü amaçlı yazılım tarama hizmetine yüklendi, görünüşe göre kesintiler devam ederken.
Şirket ayrıca, CrowdStrike kelimesini web tarayıcılarına yazarken yazım hataları yapan kişileri yakalamayı amaçlayan sahte “tippo-squatting” alan adlarında da artış gözlemlediğini ekledi.
CrowdStrike Intelligence, “CrowdStrike Intelligence, kuruluşların CrowdStrike temsilcileriyle resmi kanallar aracılığıyla iletişim kurmalarını ve CrowdStrike destek ekiplerinin sağladığı teknik rehberliğe uymalarını öneriyor” dedi.