إن مجرمو الإنترنت الانتهازيون هم التهديد المباشر الأكثر إلحاحًا الناشئ عن انقطاع خدمة مايكروسوفت في 19 يوليوحذرت وكالات الأمن من ثغرة أمنية خطيرة، تسببت في تعطل ملايين الأجهزة حول العالم نتيجة خطأ ارتكبته شركة الأمن السيبراني CrowdStrike أثناء التحديث.
وكما رأينا مرارا وتكرارا على مر السنين، فقد سارع الجهات الخبيثة إلى استغلال الأحداث الكبرى – في التاريخ الحديث، الانتخابات العامة في المملكة المتحدة لعام 2024؛ وأزمة تكلفة المعيشة التي شهدناها على مدى العامين الماضيين؛ وفي عامي 2020 و2021، جائحة كوفيد-19، تم استغلالها جميعا بهذه الطريقة بسرعة.
المملكة المتحدة المركز الوطني للأمن السيبراني وقال المركز الوطني للأمن الإلكتروني إنه على الرغم من موافقته على أن الانقطاعات لم تكن نتيجة لحادث أمني أو نشاط ضار، فإن المنظمات يجب أن تظل في حالة تأهب قصوى.
“لقد لوحظ بالفعل زيادة في عمليات التصيد الاحتيالي التي تشير إلى هذا الانقطاع، حيث يسعى الجهات الخبيثة الانتهازية إلى الاستفادة من الموقف. وقد يستهدف هذا كل من المنظمات والأفراد”، وفقًا لبيان صادر عن المركز الوطني للأمن الإلكتروني.
“ينبغي للمنظمات مراجعة إرشادات المركز الوطني للأمن السيبراني للتأكد من أن إجراءات التخفيف من مخاطر التصيد الاحتيالي متعددة الطبقات توجد قواعد وإرشادات في هذا الشأن، في حين يجب على الأفراد أن يكونوا في حالة تأهب للرسائل الإلكترونية أو الرسائل المشبوهة حول هذا الموضوع و اعرف ما الذي تبحث عنه“.”
وقد رددت وكالة الأمن السيبراني وأمن البنية التحتية في الولايات المتحدة تحذيرات المركز الوطني للأمن السيبراني: “يواصل مرتكبو التهديدات السيبرانية استغلال الانقطاع لإجراء أنشطة ضارة، بما في ذلك محاولات التصيد الاحتيالي. وتواصل وكالة الأمن السيبراني وأمن البنية التحتية في الولايات المتحدة العمل بشكل وثيق مع شركة CrowdStrike وغيرها من الشركاء من القطاع الخاص والحكومة لمراقبة أي نشاط ضار ناشئ بنشاط”.
وقال مركز الأمن السيبراني الأسترالي إنه رأى تقارير عن أنشطة مشبوهة.[We] وقالت الشركة في بيان: “إننا نفهم أن عددًا من المواقع الإلكترونية الضارة والأكواد غير الرسمية يتم إصدارها بزعم مساعدة الكيانات على التعافي من الانقطاعات الواسعة النطاق الناجمة عن الحادث الفني لـ CrowdStrike”.
الباحثون في ReliaQuest وقال إن الجهات الفاعلة ذات الدوافع المالية سوف تستغل بالتأكيد الارتباك والقلق لشن هجمات مستهدفة على الأفراد والمنظمات في الأيام والأسابيع المقبلة.
وكتب الفريق في منشور على مدونة استشارية: “قد يقومون بحملات تصيد لخداع المستخدمين وحملهم على تنزيل البرامج الضارة واختراق بيانات اعتمادهم”.
“وعلاوة على ذلك، قد ينفذون هجمات الهندسة الاجتماعية، متنكرين في هيئة موظفي تكنولوجيا المعلومات لخداع الضحايا والتلاعب بهم… وهناك العديد من الطرق الأخرى التي قد يستغل بها المهاجمون الموقف. ويتعين على المؤسسات أن تدرك هذا التهديد المتزايد وأن تلتزم بشكل صارم بنصائح الإصلاح الرسمية للحماية من هذه الاستغلالات الانتهازية.”
وأفاد فريق ReliaQuest أيضًا أن فردًا واحدًا على الأقل حاول إعلان مسؤوليته عن الحادث على منتدى ويب مظلم، ولكن بعد عدم تمكنه من تقديم دليل لإثبات ادعاءاته لمشرفي المنتدى، تم طرده وحظره.
CrowdStrike يؤكد وجود تحديثات مزيفة متداولة
وقالت شركة CrowdStrike إنها تمكنت بنفسها من تحديد بعض حالات تداول التعليمات البرمجية الخبيثة، وخاصة أرشيف ZIP ضار يحمل اسم crowdstrike-hotfix.zip.
وفقًا لفريق CrowdStrike Intelligence التابع لهايأتي هذا الأرشيف مصحوبًا بإرشادات باللغة الإسبانية والتي تشير إلى أن محتوياته عبارة عن أداة مساعدة تعمل على أتمتة عملية الاسترداد لمشكلة تحديث المحتوى.
في الواقع، يحتوي الأرشيف على حمولة HijackLoader، والتي عند تنفيذها، تقوم بتحميل حصان طروادة للوصول عن بعد Remcos (RAT)تم تحميل الأرشيف لأول مرة إلى خدمة فحص البرامج الضارة عبر الإنترنت من مقدم خدمة مقره المكسيك في 19 يوليو، على ما يبدو أثناء استمرار الانقطاعات.
وأضافت الشركة أنها لاحظت أيضًا ارتفاعًا في نطاقات “الاستيلاء على الأخطاء المطبعية” المزيفة، والتي تسعى إلى الإيقاع بالأشخاص الذين يرتكبون أخطاء إملائية عند كتابة CrowdStrike في متصفحات الويب الخاصة بهم.
“توصي CrowdStrike Intelligence المؤسسات بضمان التواصل مع ممثلي CrowdStrike من خلال القنوات الرسمية والالتزام بالإرشادات الفنية التي قدمتها فرق دعم CrowdStrike”، وفقًا لما ذكرته CrowdStrike Intelligence.
