Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlal Müdahalesi
Bilgisayar Korsanları Kötü Amaçlı Kurtarma Dosyaları ve Sertifikaları Yayıyor
Akşaya Asokan (asokan_akshaya) •
25 Temmuz 2024
Siber güvenlik firması CrowdStrike’ın yanlış yaptığı bir güncelleme nedeniyle cuma günü yaşanan küresel bilgisayar kesintisi, olayı fırsata çevirmek isteyen dolandırıcıları ortaya çıkarmaya devam ediyor.
Ayrıca bakınız: Çoklu Bulut Güvenliğinin Altı Temel Gereksinimi
Kendini hacktivist olarak tanımlayan USDoD grubu, Çarşamba günü bir suç forumunda “tüm tehdit aktörlerinin listesini” içeren bir elektronik tablo yayınlayarak ve daha sonra tehlikeye işaret eden göstergelere atıfta bulunarak “tüm IOC listesini” yayınlayacaklarına söz vererek iddiada bulunan son grup gibi görünüyor.
Teksaslı şirket, perşembe günü yaptığı açıklamada, “Bu raporda belirtilen tehdit istihbaratı verileri on binlerce müşteri, ortak ve potansiyel müşteri ile yüz binlerce kullanıcı tarafından kullanılabilir.” dedi.
Şirket, tehdit aktörlerinin elektronik tablosunun Haziran ayında zaman damgalı olduğunu söyledi. Bu, CrowdStrike’ın amiral gemisi kötü amaçlı yazılım önleme platformuna hatalı bir güncelleme göndermesinden haftalar önceydi ve tahmini 5,4 milyar dolarlık doğrudan kayba neden olan bir olayı tetikledi (bkz: CrowdStrike Kesintisi Kayıpları Sağlık ve Bankacılık Sektörünü Sert Vuracak).
USDoD geçmişte abartılı iddialarda bulundu. Kötü amaçlı yazılım araştırmacıları vx-underground da, halka açık bulduktan sonra sızdırılan USDoD verilerini inceledi.
Bilgisayar korsanları olayı hemen hemen anında sömürmeye başladılar. Bir kampanyada, Lumma bilgi hırsızını yaymak için CrowdStrike’a benzeyen bir alan adı kullandılar. CrowdStrike, “Tehdit aktörü ayrıca kötü amaçlı ikili dosyaları iletmek için spam sel ve sesli kimlik avı (vishing) gibi gelişmiş sosyal mühendislik tekniklerinden de yararlandı,” dedi.
Şirket, “Daolpu” adlı daha önce görülmemiş bir kötü amaçlı yazılım türünü CrowdStrike kurtarma dosyası olarak gizleyen bir kimlik avı kampanyasını ortaya çıkardı. Başka bir kampanyada, bilgisayar korsanları, “Daolpu” adlı kötü amaçlı bir zip arşivi aracılığıyla Latin Amerika merkezli CrowdStrike müşterilerini hedef aldı. crowdstrike-hotfix.zip Şirket geçen hafta yaptığı açıklamada, RemCos HijackLoader yükünü teslim edeceklerini söyledi.
CrowdStrike bu hafta müşterilerinin herhangi bir sistem geri yükleme çalışması için şirketle iletişim kurmak için yalnızca resmi kanalları kullanmaları gerektiğini yineledi. Ayrıca müşterilerini kurtarma araçlarını indirirken CrowdStrike sertifikalarının meşruiyetini kontrol etmeye çağırdı.
Güvenlik firması Elastic’in baş ürün pazarlama müdürü James Spiteri, pazartesi günü en az 141 sertifikanın sahte CrowdStrike alan adları kullanılarak oluşturulduğunu söyledi.
Uzmanlar, etkilenen hizmetlerin çoğunun tekrar çevrimiçi olmasıyla birlikte, olayın kuruluşlara güçlü iş sürekliliği planlarına öncelik vermeleri gerektiğini hatırlattığını söylüyor.