Pelaku ancaman memanfaatkan gangguan bisnis besar-besaran akibat pembaruan bermasalah CrowdStrike pada hari Jumat untuk menargetkan perusahaan dengan penghapus data dan alat akses jarak jauh.
Saat banyak bisnis mencari bantuan untuk memperbaiki host Windows yang terkena dampak, para peneliti dan lembaga pemerintah telah menemukan peningkatan dalam email phishing yang mencoba memanfaatkan situasi.
Komunikasi saluran resmi
Dalam pembaruan hari ini, CrowdStrike mengatakan bahwa mereka “secara aktif membantu pelanggan” yang terkena dampak pembaruan konten baru-baru ini menghancurkan jutaan host Windows di seluruh dunia.
Perusahaan menyarankan pelanggan untuk memverifikasi bahwa mereka berkomunikasi dengan perwakilan sah melalui saluran resmi karena “musuh dan pelaku kejahatan akan mencoba memanfaatkan kejadian seperti ini.”
“Saya menghimbau semua orang untuk tetap waspada dan memastikan bahwa Anda berinteraksi dengan perwakilan resmi CrowdStrike. Blog dan dukungan teknis kami akan terus menjadi saluran resmi untuk mendapatkan informasi terkini” – George KurtzCEO CrowdStrike
Pusat Keamanan Siber Nasional Inggris (NCSC) juga diperingatkan bahwa mereka mengamati peningkatan pesan phishing yang bertujuan memanfaatkan gangguan tersebut.
Platform analisis malware otomatis AnyRun memperhatikan “peningkatan upaya meniru CrowdStrike yang berpotensi menyebabkan phishing”[[1Bahasa Indonesia: 2Bahasa Indonesia: 3[Bahasa Indonesia].
Malware berkedok perbaikan dan pembaruan
Pada hari Sabtu, peneliti keamanan siber g0njxa pertama kali dilaporkan kampanye malware yang menargetkan nasabah bank BBVA yang menawarkan pembaruan CrowdStrike Hotfix palsu yang memasang Remcos RAT.
Hotfix palsu dipromosikan melalui situs phishing, portalintranetgrupobbva[.]com, yang berpura-pura menjadi portal Intranet BBVA.
Dalam arsip berbahaya tersebut terlampir instruksi yang memberi tahu karyawan dan mitra untuk menginstal pembaruan guna menghindari kesalahan saat menghubungkan ke jaringan internal perusahaan.
“Pembaruan wajib untuk menghindari kesalahan koneksi dan sinkronisasi ke jaringan internal perusahaan,” bunyi file ‘instrucciones.txt’ dalam bahasa Spanyol.
AnyRun, siapa juga men-tweet tentang kampanye yang sama, mengatakan bahwa perbaikan terbaru palsu tersebut mengirimkan HijackLoader, yang kemudian menjatuhkan alat akses jarak jauh Remcos pada sistem yang terinfeksi.
Sumber: AnyRun
Dalam peringatan lainnya, AnyRun mengumumkan bahwa penyerang mendistribusikan penghapus data dengan dalih mengirimkan pembaruan dari CrowdStrike.
“Ini menghancurkan sistem dengan menimpa file dengan nol byte dan kemudian melaporkannya melalui #Telegram,” AnyRun mengatakan.
Kampanye ini diklaim oleh kelompok hacktivist pro-Iran Handala, yang menyatakan di Twitter bahwa mereka meniru CrowdStrike dalam email ke perusahaan-perusahaan Israel untuk mendistribusikan penghapus data.
Pelaku ancaman menyamar sebagai CrowdStrike dengan mengirimkan email dari domain ‘crowdstrike.com.vc’, memberi tahu pelanggan bahwa ada alat yang diciptakan untuk menghidupkan kembali sistem Windows.
Email tersebut menyertakan PDF yang dilihat oleh BleepingComputer yang berisi petunjuk lebih lanjut tentang cara menjalankan pembaruan palsu, serta tautan untuk mengunduh arsip ZIP berbahaya dari layanan hosting file. File zip ini berisi file yang dapat dieksekusi bernama ‘Crowdstrike.exe.’
Sumber: BleepingComputer
Setelah pembaruan CrowdStrike palsu dijalankan, penghapus data diekstraksi ke folder di bawah %Temp% dan diluncurkan untuk menghancurkan data yang tersimpan pada perangkat.
Jutaan host Windows mengalami crash
Cacat pada pembaruan perangkat lunak CrowdStrike berdampak besar pada sistem Windows di sejumlah organisasi, sehingga menjadi peluang yang sangat bagus untuk dilewatkan oleh penjahat dunia maya.
Menurut Microsoft, pembaruan yang salah “mempengaruhi 8,5 juta perangkat Windowsatau kurang dari satu persen dari seluruh mesin Windows.”
Kerusakan terjadi dalam waktu 78 menit, antara 04:09 UTC dan 05:27 UTC.
Meskipun persentase sistem yang terkena dampak rendah dan upaya CrowdStrike untuk memperbaiki masalah dengan cepat, dampaknya sangat besar.
Kerusakan komputer menyebabkan ribuan penerbangan dibatalkan, aktivitas di perusahaan keuangan terganggu, rumah sakit, organisasi media, kereta api tutup, dan bahkan layanan darurat pun terpengaruh.
Dalam posting blog post-mortem pada hari Sabtu, CrowdStrike menjelaskan bahwa penyebab pemadaman tersebut adalah pembaruan file saluran (konfigurasi sensor) pada host Windows (versi 7.11 dan di atasnya) yang memicu kesalahan logika yang menyebabkan kerusakan.
Meskipun file saluran yang bertanggung jawab atas kerusakan telah diidentifikasi dan tidak lagi menyebabkan masalah, perusahaan yang masih berjuang untuk memulihkan sistem ke operasi normal dapat mengikuti petunjuk CrowdStrike untuk memulihkan tuan rumah individuBahasa Indonesia: Kunci BitLockerDan lingkungan berbasis cloud.
