Les cybercriminels motivés par l’argent exploitent déjà les failles des organisations suite à l’incident de CrowdStrike, des attaques plus ciblées sont à prévoir
Les cybercriminels opportunistes représentent la menace immédiate la plus préoccupante suite à la panne de Microsoft survenue le 19 juillet, qui a provoqué l’arrêt de millions d’appareils à travers le monde en raison d’une erreur commise par la société de cybersécurité CrowdStrike lors d’une mise à jour, selon les avertissements des agences de sécurité.
Comme cela a été observé à plusieurs reprises au fil des ans, les acteurs malveillants n’hésitent pas à tirer parti des événements majeurs. Des situations récentes telles que les élections générales au Royaume-Uni en 2024, la crise du coût de la vie des dernières années, ainsi que la pandémie de Covid-19 en 2020 et 2021, ont toutes été rapidement exploitées de cette manière.
Le Centre national de cybersécurité du Royaume-Uni (NCSC) a déclaré qu’il reconnaissait que les pannes n’étaient pas dues à un incident de sécurité ou à une activité malveillante, mais a néanmoins conseillé aux organisations de rester vigilantes.
« Une augmentation des tentatives de phishing faisant référence à cette panne a déjà été observée, alors que des acteurs malveillants cherchent à profiter de la situation. Cela peut cibler à la fois les organisations et les particuliers », a indiqué le NCSC dans un communiqué.
« Les organisations doivent passer en revue les recommandations du NCSC pour s’assurer que des mesures de protection contre le phishing sont en place, tandis que les individus doivent être attentifs aux courriels ou messages suspects à ce sujet et savoir quoi rechercher. »
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a également réitéré les avertissements du NCSC : « Les acteurs de la menace cybernétique continuent d’exploiter la panne pour mener des activités malveillantes, y compris des tentatives de phishing. La CISA collabore étroitement avec CrowdStrike et d’autres partenaires du secteur privé et gouvernementaux pour surveiller activement toute activité malveillante émergente. »
De son côté, le Centre australien de cybersécurité (ACSC) a signalé des activités suspectes. « Nous avons constaté qu’un certain nombre de sites web malveillants et de codes non officiels sont diffusés, prétendant aider les entités à récupérer des pannes généralisées causées par l’incident technique de CrowdStrike », a-t-il déclaré dans un communiqué.
Des chercheurs de ReliaQuest ont indiqué que les acteurs de la menace motivés par des raisons financières exploiteraient sans aucun doute la confusion et l’inquiétude pour lancer des attaques ciblées sur des individus et des organisations dans les jours et semaines à venir.
« Ils pourraient… mener des campagnes de phishing pour tromper les utilisateurs afin qu’ils téléchargent des logiciels malveillants et compromettent leurs identifiants », a écrit l’équipe dans un article de blog d’avertissement.
« De plus, ils pourraient exécuter des attaques d’ingénierie sociale, se faisant passer pour du personnel informatique afin de tromper et manipuler les victimes… Il existe de nombreuses autres façons dont les attaquants pourraient tirer parti de la situation. Les organisations doivent reconnaître cette menace accrue et suivre strictement les conseils de remédiation officiels pour se protéger contre ces exploitations opportunistes. »
L’équipe de ReliaQuest a également rapporté qu’au moins un individu avait tenté de revendiquer la responsabilité de l’incident sur un forum du dark web, mais après avoir été incapable de fournir des preuves pour étayer ses affirmations aux modérateurs du forum, il a été expulsé et banni.
CrowdStrike confirme la circulation de mises à jour frauduleuses
CrowdStrike a déclaré avoir identifié des cas de code malveillant en circulation, notamment une archive ZIP malveillante nommée crowdstrike-hotfix.zip.
Selon son équipe d’intelligence, cette archive est accompagnée d’instructions en espagnol qui laissent entendre que son contenu est un utilitaire destiné à automatiser la récupération du problème de mise à jour de contenu.
En réalité, l’archive contient un payload HijackLoader qui, une fois exécuté, charge le cheval de Troie d’accès à distance Remcos (RAT). L’archive a été téléchargée pour la première fois sur un service de scan de logiciels malveillants en ligne par un soumissionnaire basé au Mexique le 19 juillet, apparemment pendant que les pannes étaient en cours.
L’entreprise a également noté une augmentation des faux domaines de « typo-squatting », qui cherchent à piéger les personnes faisant des fautes de frappe en tapant CrowdStrike dans leurs navigateurs web.
« CrowdStrike Intelligence recommande aux organisations de s’assurer qu’elles communiquent avec des représentants de CrowdStrike par le biais de canaux officiels et de suivre les conseils techniques fournis par les équipes de support de CrowdStrike », a déclaré CrowdStrike Intelligence.
