Technologie : L’essor des domaines malveillants suite à l’incident de CrowdStrike
Suite à l’incident survenu le 19 juillet avec CrowdStrike, des cybercriminels exploitent la situation en créant de nombreux domaines malveillants. Les experts d’Akamai ont identifié plus de 180 de ces domaines, un chiffre qui pourrait être bien plus élevé, dont certains figurent parmi les 200 000 sites les plus visités pour des mots-clés associés.
Les secteurs les plus touchés par ces sites semblent être les organisations caritatives et les établissements d’enseignement, qui sont souvent moins préparés à faire face aux menaces cybernétiques en raison de ressources limitées pour la formation et les mesures de sécurité.
Tricia Howard d’Akamai a souligné que les acteurs malveillants tentent rapidement de tirer parti des événements d’actualité. L’incident de CrowdStrike a provoqué des dysfonctionnements sur des millions d’appareils Windows, incitant de nombreux utilisateurs, souvent peu familiers avec les technologies de l’information, à chercher des solutions, les rendant vulnérables aux techniques d’ingénierie sociale.
Les tactiques des cybercriminels
Akamai a analysé des données provenant de son réseau mondial pour identifier les principaux domaines malveillants liés à l’incident de CrowdStrike, y compris ceux utilisés pour distribuer des malwares destructeurs et des chevaux de Troie d’accès à distance. Les domaines les plus utilisés exploitent tous, d’une manière ou d’une autre, la marque CrowdStrike, prétendant offrir des informations ou des solutions. Parmi eux, on trouve des noms tels que crowdstrike-bsod.com et crowdstrikefix.com.
Un domaine a même tenté d’exploiter le site WhatIs, en utilisant l’URL whatiscrowdstrike.com. La majorité des domaines identifiés par Akamai utilisent le domaine de premier niveau .com, ce qui leur confère une certaine légitimité, et intègrent des mots-clés courants comme « helpdesk » ou « update » pour attirer les utilisateurs en quête d’informations.
Howard recommande aux utilisateurs de se tourner vers des sources fiables comme CrowdStrike ou Microsoft pour obtenir des informations précises, car d’autres sites peuvent sembler à jour mais être en réalité malveillants.
Infrastructure sophistiquée des campagnes de phishing
Les campagnes de phishing montrent souvent une infrastructure étonnamment robuste, orchestrée par des « professionnels » dont les compétences rivalisent parfois avec celles des entreprises légitimes. Ces sites frauduleux intègrent des mesures de sécurité standard, comme la validation SSL, et peuvent même rediriger vers le site officiel de CrowdStrike à un moment donné.
Les campagnes les plus avancées disposent de mécanismes de contournement et d’obfuscation, permettant à leurs créateurs de modifier rapidement leur apparence. Akamai a également identifié un domaine, crowdstrikeclaim.com, qui semble faire partie d’un vaste réseau de phishing, exploitant non seulement CrowdStrike mais aussi un cabinet d’avocats new-yorkais impliqué dans des actions collectives.
Prévenir les attaques de phishing
Pour les utilisateurs qui se retrouvent sur des pages liées à CrowdStrike, Akamai conseille de vérifier plusieurs indicateurs de mauvaise foi, comme l’émetteur du certificat lors de l’accès via HTTPS, d’éviter les domaines demandant des informations sensibles, et de supprimer les courriels prétendant offrir de l’aide. La meilleure solution reste de suivre uniquement les conseils et les étapes de remédiation fournies par CrowdStrike.
Les professionnels de la sécurité et les administrateurs informatiques peuvent également prendre des mesures supplémentaires, comme bloquer les indicateurs de compromission connus, dont la liste est disponible sur GitHub, et effectuer une analyse des mouvements latéraux ou une émulation d’adversaire.
Howard a averti que les cybercriminels motivés par l’argent chercheront toujours des opportunités pour déployer des ransomwares. Bien que l’incident de CrowdStrike ne soit pas lié à une vulnérabilité zero-day, il existe toujours des moyens pour un attaquant de cibler une victime en connaissant la technologie qu’elle utilise.
Les attaquants deviennent de plus en plus sophistiqués, et chaque élément supplémentaire du puzzle technologique qu’ils possèdent facilite leur tâche.
