Un grave problema di aggiornamento del software di sicurezza CrowdStrike sta causando serie ripercussioni a livello globale. Milioni di computer Windows sono andati in crash venerdì scorso a causa di un aggiornamento difettoso, creando enormi disagi per aziende e organizzazioni in tutto il mondo.
Approfittando di questa situazione caotica, gruppi di cybercriminali stanno lanciando campagne di phishing mirate alle aziende colpite, cercando di diffondere malware mascherati da presunte correzioni e aggiornamenti.
L'allarme di CrowdStrike e delle autorità
CrowdStrike ha rilasciato un comunicato ufficiale in cui afferma di essere "attivamente impegnata ad assistere i clienti" colpiti dal recente aggiornamento problematico. L'azienda invita alla massima cautela, avvertendo che "avversari e malintenzionati potrebbero cercare di sfruttare eventi come questo".
Anche il National Cyber Security Center (NCSC) del Regno Unito ha lanciato un allarme, segnalando un aumento di messaggi di phishing che cercano di approfittare dell'interruzione del servizio.
⚠ As expected, the incident with #CrowdStrike has been exploited to distribute malware.
— ANY.RUN (@anyrun_app) July 20, 2024
🎯 In our example, an archive containing #Hijackloader, which delivers #Remcos to the infected system, is downloaded into the system under the guise of a #hotfix.
💢 The name of the ZIP… pic.twitter.com/BieB7LcTqe
Le campagne malevole in corso
Sono state individuate diverse campagne che distribuiscono malware mascherati da falsi aggiornamenti CrowdStrike:
- Una campagna mirata ai clienti della banca BBVA che installa il trojan d'accesso remoto Remcos
- Un falso hotfix che in realtà distribuisce HijackLoader, un caricatore di malware
- Un data wiper (malware che distrugge i dati) diffuso dal gruppo hacktivista filo-iraniano Handala
Quest'ultimo gruppo ha dichiarato di aver impersonato CrowdStrike in email inviate ad aziende israeliane per distribuire il malware distruttivo.
Secondo Microsoft, l'aggiornamento problematico ha colpito circa 8,5 milioni di dispositivi Windows, pari a meno dell'1% di tutti i PC Windows nel mondo. Nonostante la percentuale relativamente bassa, l'impatto è stato enorme, con migliaia di voli cancellati, ospedali in difficoltà e disservizi per ferrovie e servizi di emergenza.
CrowdStrike ha spiegato che il problema è stato causato da un errore logico in un file di configurazione inviato ai sistemi Windows con versione 7.11 e superiori.
Raccomandazioni per la sicurezza
In questa situazione di emergenza, è fondamentale che le aziende e gli utenti seguano alcune precauzioni essenziali:
- Verificare attentamente l'autenticità di qualsiasi comunicazione che si presenti come proveniente da CrowdStrike
- Non scaricare o eseguire file da fonti non verificate, anche se sembrano aggiornamenti legittimi
- Seguire solo le istruzioni ufficiali fornite da CrowdStrike attraverso i suoi canali autorizzati
- Mantenere alta l'attenzione su possibili tentativi di phishing o social engineering
CrowdStrike ha fornito istruzioni dettagliate per ripristinare i sistemi colpiti, inclusi singoli host, chiavi BitLocker e ambienti cloud. Le aziende che ancora faticano a ripristinare le normali operazioni dovrebbero seguire queste linee guida ufficiali per risolvere i problemi in modo sicuro.