Aviso de Ameaça de Cibersegurança: Atualizações falsas da CrowdStrike observadas em circulação

Os agentes de ameaça estão a explorar a recente interrupção da atualização de software da CrowdStrike para visar empresas com uma atualização falsa que injeta malware, incluindo programas de eliminação de dados e ferramentas de acesso remoto. Estão a ser utilizados e-mails de phishing para distribuir estes programas maliciosos sob a aparência de atualizações oficiais da CrowdStrike, aproveitando-se das empresas que procuram ajuda para corrigir os hosts Windows afetados. Reveja este Aviso de Ameaça à Cibersegurança para obter recomendações sobre como reduzir o seu risco.

Qual é a ameaça?

Os cibercriminosos estão a aproveitar a confusão e a urgência criadas por eventos recentes para espalhar malware. Foram lançadas campanhas de phishing que imitam a CrowdStrike, oferecendo falsas correções que instalam malware como Remcos RAT e HijackLoader. Uma campanha visou especificamente clientes do banco BBVA com um site de phishing que se fazia passar por um portal de Intranet do BBVA, distribuindo uma falsa correção rápida da CrowdStrike. Outra campanha, reivindicada pelo grupo hacktivista pró-iraniano Handala, usou e-mails do domínio ‘crowdstrike.com.vc’ para entregar um apagador de dados disfarçado de atualização. Este apagador de dados sobrescreve ficheiros do sistema com zero bytes, destruindo eficazmente os dados, e relata a ação através do Telegram. Estas ameaças exploram a urgência das empresas em restaurar os seus sistemas, aumentando a probabilidade de infeções bem-sucedidas.

Por que é isto digno de nota?

Esta situação é digna de nota porque explora um problema relacionado com um fornecedor de cibersegurança de confiança, aumentando a probabilidade de sucesso dos ataques de phishing. O impacto generalizado em várias organizações cria um ambiente fértil para que os criminosos cibernéticos enganem as vítimas. Além disso, a exploração de um incidente proeminente destaca a necessidade de as organizações terem processos de verificação robustos para atualizações e comunicações de fornecedores de serviços.

Qual é a exposição ou o risco?

As organizações afetadas pela atualização inicial do CrowdStrike correm o risco de sofrer mais interrupções devido a estas campanhas maliciosas. O data wiper pode levar a uma perda de dados significativa, causando paragens operacionais e potenciais violações de dados. Ferramentas de acesso remoto como o Remcos RAT permitem aos atacantes obter controlo não autorizado sobre sistemas infectados, representando riscos de espionagem, instalação adicional de malware e roubo de dados.

Quais são as recomendações?

A Barracuda recomenda tomar as seguintes medidas para mitigar o impacto deste ataque:

• Informar os colaboradores sobre a ameaça atual e aplicar políticas rigorosas em relação a atualizações de software e anexos de e-mail
• Confirme a autenticidade das comunicações através dos canais oficiais antes de tomar qualquer ação
• Tenha um plano de resposta a incidentes robusto pronto para abordar rapidamente potenciais infeções ou perda de dados.
• Faça backup regularmente dos dados críticos e garanta que os backups sejam armazenados de forma segura e possam ser rapidamente restaurados.
• Implemente ferramentas de segurança avançadas que possam detetar e bloquear tentativas de phishing e malware
• Mantenha-se informado sobre as atualizações de Barracuda e outros avisos de segurança para se manter ciente das últimas ameaças e estratégias de mitigação.

Referência

Para obter informações mais detalhadas sobre as recomendações, visite o seguinte link:

• https://www.bleepingcomputer.com/news/security/fake-crowdstrike-fixes-target-companies-with-malware-data-wipers/

Nota: Isto foi originalmente publicado através de SmarterMSP.