A seguito dell’update errato di CrowdStrike (che ha mandato in tilt circa 8,5 milioni di Pc Windows Microsoft), i cybercriminali non hanno perso tempo, diffondendo online un archivio ZIP malevolo. Denominato “crowdstrike-hotfix.zip”, contiene un payload HijackLoader che scarica il famigerato malware Remcos.
Continua a fare eco nel mondo – e non potrebbe essere altrimenti – la notizia che l’update del sensore Falcon di sicurezza di CrowdStrike, non andato a buon fine, ha mandato in tilt il sistema Windows di Microsoft, con impatti su banche, Borsa e media. Sistemi Windows in down, dunque, e il malware Crowdstrike-hotfix.zip sfrutta il cyber-caos venutosi a creare per numerose aziende di diversi comparti che fondano i loro servizi sui sistemi operativi e cloud dell’azienda statunitense di Redmond.
Per cercare di fare ordine, com’è corretto che sia, CrowdStrike – il cui fondatore e CEO, George Kurt, ha ammesso su X: “Il problema è stato identificato, isolato ed è stata implementata una soluzione” – raccomanda i propri clienti di affidarsi solo e soltanto ai canali di comunicazione ufficiali dell’azienda. E proprio un post sul blog aziendale segnala che i cybercriminali hanno colto l’occasione per sfruttare il cyber-caos venutosi a creare. Le prime segnalazioni sono giunte dall’Australia, dove banche, compagnie aeree ed emittenti televisive hanno riscontrato le prime criticità con migliaia di macchine che si sono spente. In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) sta monitorando la situazione e fornendo indicazioni utili per risolvere il problema.
Archivio ZIP malevolo per superare i controlli
Nel dettaglio, è stato individuato in circolazione un archivio ZIP malevolo (tornando indietro con la memoria, nel 2021 un’ondata di e-mail malevole avrebbe eluso i sistemi di sicurezza target, distribuendo il RAT NanoCore abusando del formato file .ZIPX), il malware Crowdstrike-hotfix.zip, contenente un HijackLoader – malware loader utilizzato per distribuire payload attraverso tecniche evasive – che nel caso specifico scarica il famigerato Remcos, un trojan ad accesso remoto. Pare che questa campagna sia diretta soprattutto ai clienti di CrowdStrike in America Latina.
C’è di più. In rimando a quanto scrive a The Register, i criminali informatici avrebbero preso di mira i clienti di CrowdStrike con e-mail di phishing o telefonate ingannevoli. Senza contare il fatto che sono stati creati numerosi domini ad hoc per tali campagne. Da parte sua, CrowdStrike rimarca l’importanza di una stretta collaborazione e condivisione di informazioni per superare queste nuove sfide informatiche.
Microsoft e CrowdStrike indagano sull’incidente
Nel post sul blog di Microsoft, a firma di David Weston, vicepresidente della sicurezza aziendale e dei sistemi operativi di Microsoft, si spiega che la società sta collaborando con CrowdStrike con l’obiettivo di “sviluppare una soluzione scalabile che consenta all’infrastruttura Azure di Microsoft di accelerare la correzione dell’aggiornamento difettoso di CrowdStrike“.
Secondo Weston, tuttavia, c’è un aspetto positivo: il numero complessivo di dispositivi interessati costituisce “meno dell’uno percento di tutte le macchine Windows”. Intanto Microsoft – che sta indagando a fondo con CrowdStrike per identificare la causa precisa dell’incidente e implementare le misure necessarie – ha richiesto l’assistenza di Amazon Web Services (AWS) e Google Cloud Platform (GCP). In parallelo, il numero uno di CrowdStrike – come illustra Quartz – ribadisce che “il disservizio è stato causato da un difetto riscontrato in un aggiornamento dei contenuti Falcon per host Windows. Gli host Mac e Linux non sono stati impattati. Non si è trattato di un attacco informatico né di sicurezza”.