Akamai adquire a LayerX, oferecendo segurança de ponta a ponta e controle em tempo real do uso de IA em qualquer navegador. Veja os detalhes

Análise de domínios mal-intencionados da CrowdStrike: quem é afetado e o que pode vir em seguida

Akamai Wave Blue

escrito por

Akamai Enterprise Security Group SecOps

July 26, 2024

Akamai Enterprise Security Group SecOps is composed of seasoned security experts dedicated to continuously enhancing our customers' security posture through comprehensive threat intelligence analysis and enrichment. By continuously monitoring and analyzing Akamai's edge network and industry-grade threat intelligence, ESG SecOps delivers actionable intelligence and valuable insights derived from Akamai’s extensive global view of the internet.

Um dos domínios mal-intencionados observados aqui foi classificado nos 200.000 principais sites por palavras-chave associadas.
Um dos domínios mal-intencionados observados aqui foi classificado nos 200.000 principais sites por palavras-chave associadas.

Editorial e comentários adicionais de Tricia Howard
Revisão de texto por Maria Vlasak

Resumo executivo

  • Após o incidente da CrowdStrike em 19 de julho de 2024, os pesquisadores da Akamai descobriram mais de 180 domínios mal-intencionados recém-criados que supostamente auxiliaram na concretização do incidente, e esse número continua crescendo. 

  • Identificamos os principais domínios maliciosos com maior tráfego associados ao incidente da CrowdStrike e elaboramos uma lista de indicadores de comprometimento (IOCs) para que sejam considerados para inclusão em listas de bloqueio ou para que você possa analisá-los mais detalhadamente por conta própria.

  • Um dos domínios mal-intencionados observados aqui foi classificado nos 200.000 principais sites por palavras-chave associadas.

  • As áreas sem fins lucrativos e de educação estavam entre os principais setores afetados, que consistiam coletivamente em mais de 20% do tráfego de ataque observado.

  • Nesta publicação do blog, analisamos alguns dos tipos de golpes atualmente ativos e quem são os alvos, além de fornecermos dicas de mitigação para organizações e indivíduos afetados pelo incidente.

Introdução

Na sexta-feira, 19 de julho de 2024, o mundo ficou em polvorosa com o aparecimento de telas azuis na maioria dos dispositivos após uma recente atualização de conteúdo do CrowdStrike Falcon. A atualização acionou verificações de bugs em hosts do Windows que induziram a um oceano global de telas azuis da morte, causando bilhões de apagões de sistema em vários locais.

Com 8,5 milhões de dispositivos afetados em todo o mundo, praticamente todos os setores foram atingidos por essa interrupção, incluindo serviços essenciais como aviação, governo e saúde, o que gerou impactos concretos, alguns dos quais se prolongaram até mesmo dias após o incidente.

Como acontece com frequência com eventos notáveis, os agentes de ameaça tentaram imediatamente explorar a situação se aproveitando da confusão e da interrupção generalizada causadas pela atualização. A extensão do apagão, vinculada à extensão da cobertura de notícias sobre ela, levou a uma série de usuários desconcertados que procuravam respostas onde pudessem encontrá-las.

Os agentes de ameaça se aproveitam

Os agentes mal-intencionados viram esse incidente como uma excelente oportunidade para aplicar técnicas de engenharia social — eles criaram rapidamente sites fraudulentos que visam os clientes da CrowdStrike afetados, com o objetivo de roubar informações e disseminar malware.

Ao analisar os dados que vimos em nossa rede de edge mundial, identificamos os principais domínios mal-intencionados que estão sendo usados para golpes relacionados a esse incidente (Figure 1). As ameaças que já observamos abrangem diversas áreas, incluindo programas de apagamento de dados, programas de roubo de informações e ferramentas de acesso remoto (RATs).

Principais domínios mal-intencionados Fig. 1: Os principais domínios mal-intencionados supostamente associados à assistência da CrowdStrike

Cada um desses domínios tinha uma participação de mercado aproximadamente igual. A maioria desses domínios tem o domínio de nível superior [.]com, que mantém um ar sutil de legitimidade por causa de sua onipresença. Palavras-chave comuns, como “tela azul da morte” e “microsoft”, estão presentes em vários domínios. Essas palavras-chave são termos de pesquisa secundários comuns que uma vítima com fome de conhecimento teria procurado para coleta de informações.

Todo mundo é uma vítima em potencial

O amplo espectro do incidente é mais bem representado pela falta de foco do setor nos dados do ataque (Figura 2). Foi muito surpreendente descobrir que alguns dos setores que foram fortemente afetados por esse incidente não sejam, muitas vezes, alvos de ataques cibernéticos, principalmente as áreas de educação e do setor público.

Setores afetados Fig. 2: Detalhamento de dados de ataque por setor

Organizações sem fins lucrativos e de educação: infelizmente são os alvos

Embora estejamos acostumados a ver os setores de alta tecnologia e de serviços financeiros  sofrerem o impacto dos ataques de dia zero, os setores sem fins lucrativos e educacional, bem como o setor público — que, juntos, representam mais de 29% —, se destacam nesse contexto. Esse setor também é bastante afetado no que diz respeito à remediação — o número de dispositivos gerenciados para alunos em um único campus pode chegar a milhares, dependendo do tamanho da instituição.

O setor de educação também conta com pessoas com uma ampla variedade de níveis de habilidade técnica, incluindo as que não têm nenhum conhecimento tecnológico. Apesar do aumento dos orçamentos de TI, a equipe de segurança, geralmente pequena, de uma instituição de ensino tem a tarefa aparentemente interminável de tentar proteger esses ambientes. Um invasor com experiência em engenharia social poderia estar ciente dessa deficiência e tirar vantagem, o que também poderia contribuir para a alta quantidade de tráfego.

Identificar a infraestrutura de phishing por campanhas

É comum que essas campanhas de phishing façam parte de uma infraestrutura resiliente, caso sejam orquestradas por agentes de ameaças profissionais com habilidades comparáveis às de um ambiente corporativo. Essas campanhas mais sofisticadas podem ter mecanismos de failover e ofuscação e mudar rapidamente a aparência: Um dos domínios observados nessa campanha está vinculado a uma fonte mal-intencionada conhecida que se aproveitou das dificuldades da pandemia.

Além disso, muitos desses sites contam com recursos integrados que promovem a confiança e que os usuários costumam associar à segurança, como a validação SSL ou o suporte de TI. Até a data de publicação desta postagem no blog, foram identificados mais de 180 domínios diferentes, todos registrados entre 19 e 21 de julho. Esse número provavelmente aumentará à medida que o processo de remediação continuar.

Principais domínios afetados

O impacto desses sites é notável, o que é evidenciado pela quantidade de tráfego apontado para eles. Esses sites recebem milhões de visualizações, e alguns chegam até a figurar entre os 200 mil principais domínios para palavras-chave relacionadas em nível global nesse período, de acordo com o AkaRank.

Analisamos alguns dos domínios com mais tráfego para identificar seu modus operandi e agrupamos alguns dos sites com base nas formas como eles fingem legitimidade: serviços de TI falsos, soluções falsas e assistência jurídica falsa. Observação: Alguns exemplos mais avançados desses sites mal-intencionados também incluem outros golpes, como “suporte telefônico” ou redirecionamento para o site real da CrowdStrike, gerando mais credibilidade para o usuário desavisado.

Serviços de TI falsos

Após o apagão da CrowdStrike, notamos que vários domínios criados eram sequestros de URL da CrowdStrike, que continham a palavra “crowdstrike” em seus nomes de domínio. Esses domínios alegavam dar suporte técnico para o problema das vítimas que os contatavam (Figura 3).

Tela azul da CrowdStrike Fig. 3: Exemplo de golpe de serviços falsos

Esse tipo de site fraudulento finge ser composto por profissionais de TI dispostos a ajudar na recuperação rápida — e usa um tom que transmite o mesmo nível de urgência.. O senso de emergência pode induzir os visitantes a fornecer informações pessoais, que é uma característica comum de uma configuração de phishing. O objetivo é roubar informações confidenciais diretamente do usuário.

Soluções falsas

Para as vítimas que procuram uma solução rápida sem assistência humana, temos as campanhas falsas de soluções (Figura 4). Essas campanhas se concentram em correções rápidas fornecidas por scripts falsos de reparo ou arquivos executáveis que podem ser baixados com o clique de um botão.

Apagão da CrowdStrike Fig. 4: Captura de tela de uma campanha de soluções falsa

Uma leitura rápida das instruções faz com que pareça ser uma correção legítima. Os arquivos são denominados “CrowdStrike”, mencionam o problema atual e disponibilizam um número razoável de etapas. Uma vítima desavisada que está querendo voltar ao trabalho pode introduzir ela mesma malware em seu ambiente.

Assistência jurídica falsa

Nem todas as campanhas mal-intencionadas concentraram-se nos aspectos técnicos, algumas entraram em uma rota litigiosa. Essas campanhas tentaram coletar informações pessoais de usuários sob a orientação de oferecer assistência jurídica relacionada ao apagão da CrowdStrike. A página de destino no exemplo da Figura 5 contém os logotipos de um escritório de advocacia e da CrowdStrike para aumentar a confiabilidade.

Sua empresa foi afetada pelo apagão de TI? Fig. 5: Site jurídico de phishing mal-intencionado

Esse IOC (crowdstrikeclaim[.]com) em particular se destacou porque provavelmente faz parte de uma infraestrutura de phishing difundida. A equipe de resposta de inteligência de segurança da Akamai fez parte dessa análise e identificou esse domínio por ele ter um ID incorporado do Facebook conhecido por ser mal-intencionado, que costumava ser vinculado a covid19-business-help.qualified-case[.]com. Esse site, por sua vez, tem outro ID incorporado do Facebook vinculado a aproximadamente 40 outros websites.

Mitigações

Se você foi afetado pelo apagão e está procurando informações, recomendamos que você consulte fontes confiáveis, como a CrowdStrike ou a Microsoft. Embora outros locais possam parecer ter informações mais atualizadas, eles podem não ser corretos ou, pior ainda, podem ter um propósito maligno.

Para pessoas físicas

Se você estiver em uma página que alega oferecer assistência para o apagão da CrowdStrike, há algumas maneiras de verificar a legitimidade.

  • Verifique o certificado e o emissor do domínio ao acessá-lo por HTTPS

  • Saiba que é provável que o domínio seja fraudulento se solicitar informações confidenciais, como números de cartão de crédito, números de previdência social ou dados bancários 

  • Siga apenas as orientações de recuperação fornecidas diretamente pela CrowdStrike

  • Não abra anexos de e-mail que afirmem ser capazes de resolver o problema, mesmo que sejam provenientes de domínios semelhantes ao da CrowdStrike

Para pessoas jurídicas

Os profissionais de segurança que estão lidando com os efeitos desse incidente também têm algumas maneiras de ajudar a corrigir e limitar uma maior exposição.

  • Realize uma análise de lacuna de movimento lateral ou emulação de adversário. Os agentes de ameaça com aspirações financeiras encontrarão mais oportunidades de inserir ransomware em um ambiente. Embora esta não seja uma CVE a ser explorada, há possíveis impactos técnicos de um agente de ameaças que conhece uma parte essencial da seu stack de segurança. Recomendamos uma análise de lacunas ou até mesmo uma simulação de um adversário para obter uma visão atualizada do seu panorama de ameaças.

  • Bloqueie IOCs conhecidos e relacionados. Existem várias fontes de inteligência confiáveis que identificam os IOCs conhecidos associados a essa campanha, incluindo esta lista que elaboramos. Se essa lista for consistente com sua própria análise de gerenciamento de riscos, bloqueie os domínios imediatamente ou até mesmo use sumidouros DNS para interromper as comunicações com domínios mal-intencionados. 

Conclusão

É provável que veremos mais tentativas de phishing associadas a esse problema após a correção de cada dispositivo. Uma simples rolagem pelas redes sociais pode dar a  um invasor uma noção de quais marcas geram as emoções mais intensas e que são perfeitas para serem personificadas em favor de ganhos malévolos.

Esse é o trabalho de um invasor. É importante lembrar-se disso. As operações de campanha mal-intencionadas funcionam da mesma forma que em empresas legítimas: as vítimas são seus “clientes”, e as táticas variadas apresentadas neste post mostram como eles estão “conectados” a seus clientes. Eles sabem como diversificar o portfólio de forma eficaz para garantir que acabem com o dinheiro de um banco.

Efeitos futuros

Também é notável que, devido à natureza pública desse incidente, os invasores agora entendem melhor os stacks de tecnologia de determinados alvos. Isso pode se tornar relevante caso uma CVE futura seja descoberta no produto Falcon. Os invasores estão ficando cada vez mais sofisticados, e cada peça adicional do quebra-cabeça do stack de tecnologia que eles têm torna esse quebra-cabeça mais fácil de resolver.

Deseja saber mais?

O Akamai Security Intelligence Group (SIG) continuará monitorando e relatando ameaças como essas para fornecer informações aos nossos clientes e à comunidade de segurança em geral. Para ver a lista completa dos trabalhos em andamento no SIG, acesse nossa página dedicada à pesquisa ou siga-nos no X, antigo Twitter, para receber as atualizações mais recentes.



Akamai Wave Blue

escrito por

Akamai Enterprise Security Group SecOps

July 26, 2024

Akamai Enterprise Security Group SecOps is composed of seasoned security experts dedicated to continuously enhancing our customers' security posture through comprehensive threat intelligence analysis and enrichment. By continuously monitoring and analyzing Akamai's edge network and industry-grade threat intelligence, ESG SecOps delivers actionable intelligence and valuable insights derived from Akamai’s extensive global view of the internet.

Publicações de blog relacionadas

Pesquisas sobre segurança

Desmascarando uma campanha de phishing sofisticada que tem como alvo os hóspedes de hotéis

September 21, 2023
Pesquisadores da Akamai descobriram a sofisticada evolução dos ataques de um golpe de phishing altamente convincente que visa hóspedes de hotéis.
por Shiran Guez
Read More
Pesquisas sobre segurança

O golpe de phishing que nunca acaba: Quando "Natalie Hamilton" ressurgiu com vontade (e uma furadeira elétrica)

July 27, 2023
Os pesquisadores da Akamai descobriram uma ampla infraestrutura de back-end de uma campanha de phishing contínua que roteou milhões de pessoas para domínios mal-intencionados.
por Or Katz
Read More
Pesquisas sobre segurança

Chatbots, celebridades e redirecionamento de vítimas: Por que os golpes de sorteio de criptomoedas ainda são tão bem-sucedidos

March 22, 2023
Os golpes de criptomoeda que se passam por celebridades e marcas conhecidas têm aumentado nos últimos anos. Analisamos vários dos kits e apresentamos um resumo.
por Shiran Guez
Read More