Les acteurs malveillants exploitent la perturbation massive des activités causée par la mise à jour de CrowdStrike vendredi pour cibler les entreprises dotées d'outils d'effacement de données et d'accès à distance.

Alors que les entreprises recherchent de l’aide pour réparer les hôtes Windows affectés, les chercheurs et les agences gouvernementales ont constaté une augmentation des e-mails de phishing tentant de profiter de la situation.

Communication officielle du canal

Dans une mise à jour publiée aujourd'hui, CrowdStrike indique qu'il « aide activement les clients » impactés par la récente mise à jour de contenu qui a fait planter des millions d'hôtes Windows dans le monde entier.

L'entreprise conseille à ses clients de vérifier qu'ils communiquent avec des représentants légitimes via les canaux officiels, car « des adversaires et des acteurs malveillants tenteront d'exploiter des événements comme celui-ci ».

Le Centre national de cybersécurité du Royaume-Uni (NCSC) également averti qu'elle a observé une augmentation des messages de phishing visant à profiter de la panne.

La plateforme d'analyse automatisée des logiciels malveillants AnyRun a constaté « une augmentation des tentatives d'usurpation d'identité de CrowdStrike pouvant potentiellement conduire à du phishing » [1, 2, 3].

Des logiciels malveillants déguisés en correctifs et mises à jour

Samedi, AnyRun a signalé que des acteurs malveillants avaient commencé à exploiter l'incident CrowdStrike pour diffuser HijackLoader, qui a déposé l'outil d'accès à distance Remcos sur le système infecté.

Pour inciter les victimes à installer le logiciel malveillant, l'acteur malveillant a déguisé la charge utile HijackLoader dans une archive WinRAR promettant de fournir un correctif de CrowdStrike.

Dans un autre avertissement, AnyRun a annoncé que les attaquants distribuaient également un effaceur de données sous prétexte de fournir une mise à jour de CrowdStrike.

« Il décime le système en écrasant les fichiers avec zéro octet, puis le signale via #Telegram » – AnyRun dit.

Dans un autre exemple, la plateforme d'analyse des logiciels malveillants note que les cybercriminels ont commencé à diffuser d'autres types de logiciels malveillants se faisant passer pour des mises à jour de CrowdStrike ou des correctifs de bogues.

Un exécutable malveillant a été diffusé via un lien dans un fichier PDF contenant des parties de la mise à jour officielle de CrowdStrike. L'URL menait à une archive nommée mise à jour.zip qui comprenait l'exécutable malveillant CrowdStrike.exe.

Des millions d'hôtes Windows sont en panne

Le défaut dans la mise à jour du logiciel CrowdStrike a eu un impact considérable sur les systèmes Windows de nombreuses organisations, ce qui en fait une opportunité trop belle pour que les cybercriminels la laissent passer.

Selon Microsoft, la mise à jour défectueuse «8,5 millions d'appareils Windows concernéssoit moins d’un pour cent de toutes les machines Windows. »

Les dégâts se sont produits en 78 minutes, entre 04h09 UTC et 05h27 UTC.

Malgré le faible pourcentage de systèmes affectés et les efforts de CrowdStrike pour corriger le problème rapidement, l'impact a été énorme.

Les pannes informatiques ont entraîné l'annulation de milliers de vols, perturbé l'activité des sociétés financières, mis hors service des hôpitaux, des médias, des chemins de fer et même impacté les services d'urgence.

Dans un article de blog post-mortem publié samedi, CrowdStrike explique que la cause de la panne était une mise à jour du fichier de canal (configuration du capteur) sur les hôtes Windows (version 7.11 et supérieure) qui a déclenché une erreur logique conduisant à un crash.

Bien que le fichier de canal responsable des plantages ait été identifié et ne pose plus de problèmes, les entreprises qui ont encore du mal à restaurer les systèmes à un fonctionnement normal peuvent suivre les instructions de CrowdStrike pour récupérer hôtes individuels, Clés BitLockeret environnements basés sur le cloud.