Analisi dei domini CrowdStrike dannosi: chi è interessato e cosa dobbiamo aspettarci

Editoriale e commenti aggiuntivi di Tricia Howard
Copy Editing di Maria Vlasak

Il 19 luglio 2024, si è destato clamore in tutto il mondo a causa della visualizzazione delle "schermate blu" (arresto del sistema) sulla maggior parte dei dispositivi dopo un recente aggiornamento dei contenuti di CrowdStrike Falcon . L'aggiornamento ha attivato un controllo dei bug sugli host di Windows che ha provocato la visualizzazione delle temute "schermate blu" (BSOD), causando l'arresto di miliardi di sistemi in tutto il mondo.

Con 8,5 milioni di dispositivi interessati in tutto il mondo, sono stati colpiti da questo arresto di sistema praticamente tutti i settori, inclusi servizi di importanza critica, come l'aviazione, il settore pubblicoe quello sanitario, che ha avuto effetti sulla vita reale, di cui alcuni si sono protratti anche giorni dopo l'incidente.

Come accade spesso nel caso di eventi di rilievo, i criminali hanno immediatamente tentato di sfruttare la situazione approfittando della confusione diffusa e dell'interruzione dei sistemi causati dall'aggiornamento. La portata dell'interruzione dei sistemi, legata alla copertura giornalistica relativa alla notizia, ha condotto ad un numero sconcertante di utenti alla ricerca di risposte ovunque potevano trovarle.

Ognuno di questi domini principali ha avuto approssimativamente un'uguale quota di mercato. La maggior parte di questi domini ha il dominio di primo livello [.]com, che sembra lievemente legittimo per la sua ubiquità. In alcuni di questi domini, sono presenti parole chiave comuni, come "bsod" e "microsoft", che sono termini di ricerca comunemente usati dalle vittime alla ricerca di informazioni.

Anche se siamo abituati a vedere i servizi finanziari e l'high-tech  subire l'assalto degli attacchi zero-day, i settori più colpiti sono il no profit, l'istruzione e il settore pubblico, che insieme raggiungono più del 29% del traffico degli attacchi osservato.. Questi settori sono, inoltre, interessati notevolmente dalle operazioni di mitigazione: il numero di dispositivi gestiti per gli studenti in un campus universitario può raggiungere il migliaio, a seconda delle dimensioni dell'università.

Anche il settore dell'istruzione si basa su persone con un'ampia varietà di livelli di competenze tecniche, incluso chi non è assolutamente tecnologicamente avanzato. Nonostante i budget IT sempre più elevati, i team addetti alla sicurezza di un istituto scolastico, spesso di ridotte dimensioni, si trovano di fronte al compito apparentemente arduo di tentare di proteggere questi ambienti. L'autore di un attacco di social engineering dovrebbe conoscere questa difficoltà e potrebbe trarne vantaggio, il che contribuirebbe ad aumentare notevolmente la quantità di traffico.

Per queste campagne di phishing, è comune far parte di un'infrastruttura resiliente se sono organizzate da criminali professionisti con capacità in grado di competere con quelle di un ambiente aziendale. Queste campagne più sofisticate possono disporre di meccanismi di offuscamento e failover e cambiare rapidamente aspetto: uno dei domini osservati in questa campagna è legato ad una nota fonte dannosa che ha tratto vantaggio dalle difficoltà della pandemia.

Inoltre, molti di questi siti presentano attività di fidelizzazione integrate che gli utenti sono abituati ad associare con la sicurezza, come la convalida SSL o il supporto IT. Al momento della pubblicazione di questo blog, sono stati identificati più di 180 domini diversi, che sono stati registrati tra il 19 e il 21 luglio. Questo numero, probabilmente, crescerà man mano che continuerà il processo di mitigazione.

L'impatto di questi siti è notevole, come evidenziato dalla quantità di traffico ad essi indirizzato. Questi siti richiamano milioni di visualizzazioni: alcuni di essi sono classificati, infatti, tra i primi 200.000 domini per le parole chiave associate a livello globale nel periodo osservato, secondo AkaRank.

Abbiamo analizzato alcuni dei domini più trafficati per scoprire il loro modus operandi e abbiamo raggruppato alcuni di essi in base al modo con cui simulano un aspetto legittimo, ossia attraverso un supporto legale, soluzioni e servizi IT fittizi. Nota: alcuni degli esempi più avanzati di questi siti dannosi includono anche altre frodi, come il "supporto telefonico" o il reindirizzamento verso il sito CrowdStrike attuale per aumentare la credibilità nei confronti degli ignari utenti.

Questo tipo di sito truffa finge di essere un professionista IT disponibile per aiutare per un rapido recupero e mantiene un uguale livello di urgenza nel tono. Il senso di emergenza può indurre i visitatori a fornire informazioni personali, che è una caratteristica comune di una configurazione di phishing. In tal caso, l'obiettivo è rubare informazioni direttamente dall'input dell'utente.

Una rapida lettura delle istruzioni le fa sembrare legittime. I file sono denominati "CrowdStrike", fanno riferimento al problema riscontrato e forniscono un numero ragionevole di operazioni da eseguire. Una vittima ignara che cerca di riprendere il lavoro potrebbe facilmente introdurre inavvertitamente malware nel proprio ambiente.

Questo specifico IOC (crowdstrikeclaim[.]com) è emerso perché probabilmente parte di un'infrastruttura di phishing più diffusa. L'Akamai Security Intelligence Response Team ha preso parte a questa analisi ed ha identificato questo dominio come un ID Facebook integrato e noto per essere dannoso (utilizzato per effettuare la connessione al dominio covid19-business-help.qualified-case[.]com). Questo sito, a sua volta, ha un altro ID Facebook integrato che consente di connettersi approssimativamente ad altri 40 siti web.

Se siete stati interessati dall'interruzione di sistema e cercate informazioni al riguardo, vi consigliamo di consultare fonti attendibili come CrowdStrike o Microsoft. Altre fonti potrebbero avere informazioni più aggiornate, ma non necessariamente accurate o, peggio, potrebbero nascondere siti con scopi illeciti.

Se arrivate ad una pagina che afferma di offrire assistenza relativamente all'interruzione di CrowdStrike, ne potete verificare la legittimità in vari modi.

• Verificate il certificato e l'intestatario del dominio quando effettuate l'accesso tramite HTTPS

• Il dominio è probabilmente illegittimo se richiede informazioni sensibili,, come numeri di carte di credito, codici fiscali o dati bancari 

• Seguite solo le informazioni per il recupero fornite direttamente da CrowdStrike

• Non aprite allegati e-mail che dichiarano di riuscire a risolvere il problema, anche se provenienti da domini simili a CrowdStrike

Gli addetti alla sicurezza che devono gestire gli effetti di questo incidente possono anche aiutare a risolvere il problema e a limitare un'ulteriore esposizione agli attacchi in vari modi.

• Eseguire un'analisi delle vulnerabilità create dal movimento laterale o un'emulazione della concorrenza. I criminali con aspirazioni finanziarie troveranno maggiori opportunità per sferrare i ransomware in un ambiente. Anche se non si è trattato di una CVE da sfruttare, se un criminale conosce un componente critico del vostro sistema di sicurezza, possono verificarsi potenziali impatti tecnici. Vi consigliamo di eseguire un'analisi delle vulnerabilità o un'emulazione della concorrenza per avere una visione dell'attuale scenario delle minacce.

• Bloccare gli IOC noti e correlati. Esistono numerose fonti di intelligence attendibili di IOC noti associati a questa campagna, incluso questo elenco che abbiamo stilato. Se l'elenco è coerente con la vostra analisi sulla gestione dei rischi, bloccate immediatamente i domini o eliminatele con il DNS per fermare le comunicazioni con i domini dannosi. 

È probabile che assisteremo ad altri tentativi di phishing associati a questo problema anche dopo aver corretto ogni dispositivo interessato. Scorrendo semplicemente i social media, un criminale  può capire quali brand generano le emozioni più intense e quali sono soggetti a tentativi di impersonificazione a scopo malevolo.

È questo il compito dei criminali ed è importante ricordarlo. Le operazioni delle campagne dannose sono simili alle attività che si compiono nelle aziende legittime: le vittime sono i loro "clienti" e le varie tattiche presentate in questo post mostrano come sono riuscite ad "agganciare" i loro clienti. Sanno come diversificare in modo efficace la propria gamma di prodotti per garantirsi risultati positivi.

È interessante anche notare che, a causa della natura pubblica di questo incidente, i criminali ora conoscono meglio i dispositivi tecnologici di alcuni obiettivi. Questo aspetto potrebbe diventare importante nel caso in cui venga rilevata una futura CVE all'interno di Falcon. I criminali diventano sempre più sofisticati e ogni pezzo aggiuntivo del puzzle dei dispositivi tecnologici a loro disposizione rende il puzzle stesso più facile da risolvere.