Nach dem CrowdStrike-Vorfall entdeckten Forscher von Akamai mehr als 180 neu erstellte bösartige Domains.Following the CrowdStrike incident, Akamai researchers discovered more than 180 newly created malicious domains.
Hacker haben es auf verunsicherte Nutzer abgesehen. Forscher von Akamai haben mehr als 180 neue bösartige Domains entdeckt. Diese gaben vor, Betroffenen helfen zu wollen. Mit mehr als 20 Prozent des beobachteten Angriffsverkehrs gehörten gemeinnützige Organisationen und der Bildungssektor zu den am stärksten betroffenen Branchen.

Akamai hat eine Liste von Indikatoren der Kompromittierung (IOCs) erstellt. Unternehmen können diese in ihre Blockierliste aufnehmen oder selbst weiter analysieren.

Der IT-Ausfall ereignete sich nach einem von CrowdStrike durchgeführten Falcon-Update. Das Update löste eine globale Flut von Bluescreens of Death (BSODs) auf Windows-Hosts aus und führte zu Milliarden von Systemausfällen an verschiedenen Orten. Weltweit waren 8,5 Millionen Geräte und nahezu alle Branchen betroffen. Die Auswirkungen betrafen auch kritische Dienste wie die Luftfahrt, Behörden und das Gesundheitswesen und führten zu massiven Einschränkungen, die teilweise noch Tage nach dem Vorfall anhielten.

Bedrohungsakteure richteten betrügerische Websites ein

Viele verunsicherte Nutzer suchten Hilfe im Internet. Wie so oft bei öffentlichkeitswirksamen Ereignissen versuchten Bedrohungsakteure, die Situation auszunutzen und von der durch den Ausfall verursachten Verwirrung zu profitieren. Sie richteten betrügerische Websites ein, die auf betroffene CrowdStrike-Kunden abzielten, um Informationen abzugreifen und Malware zu verbreiten.

Durch die Analyse der Daten konnten die Sicherheitsexperten die wichtigsten bösartigen Domains identifizieren. Diese Domains enthalten häufig Schlüsselwörter wie „bsod“ und „microsoft“, da die Nutzer diese Schlüsselwörter als zusätzliche Suchbegriffe verwenden, wenn sie versuchen, ihr Problem zu lösen.

Darüber hinaus verfügen viele der bösartigen Websites über vertrauensbildende Maßnahmen, die die Benutzer gewöhnlich mit Sicherheit in Verbindung bringen, wie SSL-Validierung oder IT-Support. Zum Zeitpunkt der Veröffentlichung dieses Beitrags hatte Akamai bereits mehr als 180 verschiedene Domains identifiziert, die alle zwischen dem 19. und 21. Juli registriert wurden. Diese Zahl wird sich voraussichtlich noch erhöhen. Eine der beobachteten bösartigen Domains war unter den 200.000 besten Websites für die zugehörigen Keywords aufgeführt.

Besonders betroffen: Gemeinwohl und Bildung

Üblicherweise tragen Hochtechnologie und Finanzdienstleistungen die Hauptlast von Zero-Day-Angriffen. Bei diesen Angriffen stechen allerdings der gemeinnützige und der Bildungssektor sowie der öffentliche Sektor mit mehr als 29 Prozent hervor. Diese Branche ist auch in Bezug auf die Abhilfemaßnahmen stark betroffen. Trotz steigender IT-Budgets haben die oft kleinen Sicherheitsteams von Bildungseinrichtungen Schwierigkeiten, die Infrastruktur gegen Hacker zu schützen. Cyberkriminellen ist das bewusst und sie wählen ihre Ziele vermutlich danach aus.

Akamai erwartet weitere Phishing-Versuche

Es ist wahrscheinlich, dass mehr Phishing-Versuche im Zusammenhang mit dem Outage auftreten werden. Bemerkenswert ist, dass die Angreifer aufgrund der großen Aufmerksamkeit für diesen Vorfall nun ein besseres Verständnis für die Technologie-Stacks bestimmter Ziele haben. Dies könnte relevant werden, wenn ein zukünftiges CVE im Falcon-Produkt entdeckt wird. Angreifer werden immer raffinierter: Jedes zusätzliche Puzzleteil, das sie haben, um eine Technologie zu durchschauen, macht es einfacher, Angriffe umzusetzen.

On Friday, July 19, 2024, the world buzzed with the manifestation of blue screens across a majority of devices after a recent CrowdStrike Falcon content update. The update triggered bug checks on Windows hosts that induced a global sea of blue screens of death (BSODs) — causing billions of system outages across various locations.

With 8.5 million devices affected globally, just about every industry was hit by this outage, including critical services such as aviationgovernment, and healthcare, which produced real-world impacts, some continuing even days after the incident.

As is often the case with newsworthy events, threat actors immediately attempted to exploit the situation by piggybacking on the widespread confusion and disruption caused by the update. The extent of the outage, tied with the extent of the news coverage surrounding it, led to a number of disconcerted users searching for answers wherever they could find them.

 

Threat actors saw this incident as a prime opportunity for social engineering — they rapidly set up scam sites that targeted impacted CrowdStrike customers to steal information and spread malware.

It is common for these phishing campaigns to be part of a resilient infrastructure if they are orchestrated by professional threat actors with the skills to rival an enterprise environment. These more sophisticated campaigns can have failover and obfuscation mechanisms and quickly change appearance: One of the observed domains in this campaign is tied to a known malicious source that took advantage of pandemic hardship.

In addition, many of these sites have built-in trust-building activities that users are accustomed to associating with security, such as SSL validation or IT support. More than 180 different domains have been identified, all registered between July 19 and July 21. That number will likely increase as the remediation process continues.

If you are affected by the outage and are looking for information, Akamai recommends that you consult credible sources such as CrowdStrike or Microsoft. Although other outlets may seem to have more up-to-date information, it may not be accurate — or worse, the site may have a malignant purpose.

Security professionals who are dealing with the effects of this incident also have a few ways to help remediate and limit further exposure.

  • Perform a lateral movement gap analysis or adversary emulation. Threat actors with financial aspirations will find more opportunities to drop ransomware into an environment. Although this wasn’t a CVE to be exploited, there are potential technical impacts from a threat actor who knows a critical piece of your security stack. Akamai recommends a gap analysis or even an adversary emulationto get a current view of your threat landscape.
  • Block known and related IOCs. There are a number of credible intel sources of known IOCs associated with this campaign, including this list Akamai built. If this list is consistent with your own risk management analysis, block the domains outright, or even DNS sinkhole them, to stop communications with malicious domains.
Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten.Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner