Cybercriminelen misbruiken CrowdStrike-incident om malware te verspreiden

Cybercriminelen maken misbruik van het CrowdStrike-incident waarbij een update vorige week storingen veroorzaakte in Windows-systemen over de hele wereld. Er zijn diverse neptools in omloop die malware verspreiden, waaronder datawipers en remote access tools.

Enkele cybersecurityexperts waarschuwen dat het CrowdStrike-incident wordt misbruikt door criminelen. Ook het Britse National Cyber Security Center meldt dat het incident heeft geleid tot een golf van phishingaanvallen. Cybercriminelen proberen bedrijven en individuen over te halen om legitiem ogende hotfixes of tools te downloaden en te installeren.

Zo worden er e-mails gestuurd die bijvoorbeeld een pdf bevatten met instructies voor de zogenaamde oplossing met daarbij een link naar een zipbestand met de naam 'crowdstrike.exe'. In werkelijkheid gaat het om nepfixes en neptools die malware installeren op de systemen van slachtoffers. Er worden bijvoorbeeld remote access tools en datawipers geïnstalleerd en geactiveerd.

CrowdStrike meldt zelf ook dat criminelen misbruik proberen te maken van de situatie. Het bedrijf raadt getroffenen aan om contact op te nemen met officiële vertegenwoordigers van CrowdStrike of de technische ondersteuning. Ceo George Kurtz biedt daarnaast zijn excuses aan voor de storing. "Heel CrowdStrike begrijpt de ernst en impact van de situatie." Microsoft heeft inmiddels een officiële hersteltool uitgebracht om de CrowdStrike-bug te verhelpen.

Vorige week vrijdag zorgde een defect in een update van de beveiligingssoftware van CrowdStrike ervoor dat bedrijven over de hele wereld in de problemen kwamen. Door de update ontstonden er op circa 8,5 miljoen Windows 10- en Windows 11-computers bsod's. Die blue screens of death zorgden ervoor dat de diensten van onder meer banken en ziekenhuizen niet goed bereikbaar waren. Daarnaast waren er problemen op luchthavens, waaronder op Schiphol. De vluchten van veel vakantiegangers werden hierdoor vertraagd of geannuleerd.

Door Sabine Schults

Redacteur

22-07-2024 • 19:12

21

Submitter: TheVivaldi

Lees meer

Reacties (21)

21
21
12
0
0
6
Wijzig sortering
Kan iemand de gedachte achter zo’n mail uitleggen? Iemand die niet in Windows komt, leest het mailtje ook niet. Op je telefoon heb je er ook niets aan (in geval van executable).
Volgens mij is het ook voornamelijk een zakelijk product, dus consumenten zullen het mailtje ook waarschijnlijk overslaan?
Volgens mij is het ook voornamelijk een zakelijk product, dus consumenten zullen het mailtje ook waarschijnlijk overslaan?
Veeeeeeeeele consumenten snappen helemaal niet dat de storing niet hun PC getroffen heeft. Ze lezen de voorpagina van de krant waarin staat dat Crowdstrike problemen veroorzaakt. Vervolgens komen ze een mailtje tegen met een tool die het probleem oplost, en voor velen is dat 1+1=2 en draaien vervolgens de tools uit de malware-mails.
Precies dit. Kijk alleen al naar Social media en heb dan door dat mensen bij het zien van 'windows' meteen helemaal door het lint gaan. Dat CrowdStrike in heel specifieke situaties geinstalleerd is en bijna niet op thuiscomputers is dan niet meer relevant. Als iemand die dit op soc. media gezien heeft vervolgens een mailtje krijgt dat lijkt op iets gestuurd vanuit de provider met 'crowdstrike' vermeld dan heb je de poppen aan het dansen.

Het is volkomen logisch dat criminelen hier meteen gebruik van gingen maken.
Sterker nog...

Ze lezen de voorpagina van de krant waarin staat dat Crowdstrike Microsoft Windows problemen veroorzaakt
Ook op het radio 2 en 1 nieuws werd die dag enkel gesproken over een probleem met Windows computers. Super irri. Ik heb bijvoorbeeld richting Giel Beelen even duidelijk gemaakt dat het NIET ging om een fout van Microsoft Windows, maar van een ander bedrijf genaamd Crowdstrike.
Ook hier kwamen op 4 telefoons (met andere nummers) op dezelfde dag phising SMS binnen. Vrij doorzichtig, maar wet van de grote getallen gaat op, dus er zullen er vast een aantal zijn ingestonken.
Voor de duidelijkheid, waren dat pogingen die duidelijk om crowdstrike gingen? En wat probeerden ze dan? Want in principe kan je altijd wel phishing verwachten en het nieuws is niet heel duidelijk wat de pogingen rond crowdstrike nu precies ander doen dan op altijd wel bestaande gelegenheden in proberen te spelen.
Frequency illusion (aka Baader-Meinhof fenomeen).
Is er ook een bloklijst voor AdGuard Home die phising en malware blokkeert en snel/vaak geüpdate wordt?
Een DNS filter is niet de juiste plek om dit soort dingen te doen
Waarom niet en hoe dan wel?
Omdat een DNS filter alleen het ophalen van een domeinnaam tegengaat, maar geen volledige blokkade van de doelserver is. Daarnaast kun je gewoon niet effectief malware blokkeren mbv een DNS-blokkade omdat veel malware gewoon van legitieme domeinnamen komt, en DNS alleen op host niveau is (dus bijv. filehost.net, niet filehost.net/virus.exe)
Ik maak voor persoonlijk gebruik gebruik van de hosts-lijsten van StevenBlack (https://github.com/StevenBlack/hosts). Deze lijsten worden zeer actief bijgehouden, maar het voelt soms als dweilen met de kraan open. Zodra de ene website wordt geblokkeerd, verschijnt er weer een nieuwe. Toch is het de moeite waard om deze lijsten te gebruiken, zelfs als ze maar één verkeerde link kunnen stoppen. Voorkomen is immers beter dan genezen.
Mails worden zo snel uitgestuurd dat meeste schade al geleden is van zodra een researcher het heeft gepushed naar github. En dan moet de lijst nog naar jouw dns blocker gefetched worden.

Is gewoon niet de juiste plaats. Hopen dat je die ene keer bescherm wordt is niet meer dan hopen. En we gebruiken geen hoop in cybersecurity.
Ja want DNS filtering is de oplossing tegen alles ……..
Een blocklist als deze loopt altijd achter de feiten aan. Je kunt NRD's blokkeren maar zodra ze gebruik maken van bestaande, legitieme sites lost een DNS blocklist niets op.
Dit is een aanrader, een iplist die heel wat zaken blokkeert, uit ervaring weet ik dat deze vrij effectief is (beter dan de fortiguard services waar je moet voor betalen bij fortigate).
http://iplists.firehol.org/
Waar is het dan precies effectief tegen? Want bij deze criminaliteit spelen criminelen juist snel in op een actuele gebeurtenis. Om effectief te zijn moeten de iplists dus heel snel bijgewerkt worden, anders is er weinig effectiviteit.

De iplists worden pas bijgewerkt als er betrouwbare informatie over de phishing is. En die nieuwe informatie is dan nig niet zomaar meteen beschikbaar, maar bijvoorbeeld pas na 6 uur sinds een vorige update. Dus voor effectiviteit zul je dan moeten hopen dat deze criminelen gebruik maken van al in de lijsten gepubliceerde gegevens (wat ze niet zomaar doen), of dat je in de tussentijd dat geen last hebt (wat niet zomaar het geval is).
Je kunt ervoor kiezen om NRD's te blokkeren. Als je alles blokkeert wat jonger is dan 30 dagen dan voorkom je aardig wat gedoe. Maar eens, dit is niet de beste manier om je te beveiligen tegen dit soort zaken.
Ik gebruik de lijst van oisd.nl (zie https://oisd.nl)

Die wordt zeer goed bijgehouden en bevat een verzameling van allerhande lijsten. Daarbij worden de false positives eruit gehaald en ook vermeldingen die zorgen dat sites niet meer werken.

Al met al nooit problemen gehad.

En het is een Nederlander die voor een vrijwillige kleine bijdrage veel werk verricht.
Weet ik zo even niet. Heb wel de DNS nummers:

Default servers
AdGuard DNS will block ads and trackers.
94.140.14.14
94.140.15.15
2a10:50c0::ad1:ff
2a10:50c0::ad2:ff

Family protection servers
AdGuard DNS will block ads, trackers, adult content, and enable Safe Search and Safe Mode, where possible.
94.140.14.15
94.140.15.16
2a10:50c0::bad1:ff
2a10:50c0::bad2:ff

Non-filtering servers
AdGuard DNS will not block ads, trackers, or any other DNS requests.
94.140.14.140
94.140.14.141
2a10:50c0::1:ff
2a10:50c0::2:ff

Op dit item kan niet meer gereageerd worden.