A empresa de segurança CrowdStrike inadvertidamente causou caos em todo o mundo na sexta-feira depois implantando uma atualização de software defeituosa para a plataforma de monitoramento Falcon da empresa que danificou computadores Windows que executavam o produto. As consequências do incidente levarão dias para serem resolvidas, e a empresa está alertando que, enquanto os administradores de sistema e a equipe de TI trabalham na remediação, outra ameaça está surgindo: golpes digitais predatórios tentando capitalizar a crise.
Pesquisadores começaram a alertar na sexta-feira à tarde que os invasores estão reservando nomes de domínio e começando a criar sites e outras infraestruturas para executar golpes de “CrowdStrike Support” visando os clientes da empresa e qualquer um que possa ser impactado pelo caos. Os próprios pesquisadores da CrowdStrike também avisado sobre a atividade na sexta-feira e publicou uma lista de domínios aparentemente registrados para representar a empresa.
“Sabemos que adversários e maus atores tentarão explorar eventos como este”, disse o fundador e CEO da CrowdStrike, George Kurtz. escreveu em uma declaração. “Eu encorajo todos a permanecerem vigilantes e garantirem que vocês estejam se envolvendo com representantes oficiais da CrowdStrike. Nosso blog e suporte técnico continuarão sendo os canais oficiais para as últimas atualizações.”
Os atacantes inevitavelmente aproveitam eventos globais importantes assim como questões atuais em áreas geográficas específicas para tentar enganar as pessoas para que enviem dinheiro, roubar credenciais de contas alvo ou comprometer vítimas com malware.
“Os agentes de ameaças invariavelmente tentam capitalizar em qualquer evento importante”, diz Brett Callow, diretor administrativo de comunicações de segurança cibernética e privacidade de dados da FTI Consulting. “Sempre que uma organização passa por um incidente, é algo para o qual os clientes e parceiros de negócios devem estar preparados.”
Embora a maioria dos indivíduos não seja pessoalmente responsável por lidar com interrupções de computador relacionadas ao CloudStrike, o incidente está pronto para exploração porque alguns dos profissionais de TI que trabalham na remediação podem estar desesperados por soluções. Na maioria dos casos, a correção para computadores impactados envolve inicializar e corrigir cada um individualmente — um processo potencialmente demorado e logisticamente difícil. E para proprietários de pequenas empresas que não têm acesso a ampla experiência em TI, o desafio pode ser particularmente assustador.
Pesquisadores, incluindo aqueles da CrowdStrike Intelligence, até agora viram invasores enviando e-mails de phishing ou fazendo ligações telefônicas onde fingem ser a equipe de suporte da CrowdStrike e vendendo ferramentas de software que alegam automatizar o processo de recuperação da atualização de software defeituosa. Alguns invasores também estão fingindo ser pesquisadores e alegando ter informações especiais vitais para a recuperação — que a situação é, na verdade, o resultado de um ataque cibernético, o que não é.
A CrowdStrike enfatiza que os clientes devem confirmar que estão se comunicando com funcionários legítimos da empresa e confiar apenas nas comunicações corporativas oficiais da empresa.
“Alertas rápidos para funcionários descrevendo riscos potenciais ajudarão”, diz Callow sobre como os clientes da CloudStrike devem trabalhar para se defender. “Prevenido vale por dois.”
