Arnaque CrowdStrike

CrowdStrike, une importante société de cybersécurité, a déclenché par inadvertance des pannes généralisées du système avec une mise à jour erronée de Windows le 19 juillet 2024. Cet incident technique a non seulement perturbé les opérations, mais a également ouvert une fenêtre d'opportunité aux cybercriminels pour exploiter les systèmes vulnérables à des fins menaçantes.

Distribution de logiciels malveillants via de fausses mises à jour

L'une des principales méthodes utilisées par les cybercriminels consistait à distribuer des logiciels malveillants déguisés en mises à jour CrowdStrike légitimes. Ces mises à jour frauduleuses comprenaient :

1. Le Remcos RAT ciblant les clients de la banque BBVA : une campagne ciblée destinée aux clients de la banque BBVA a utilisé une fausse mise à jour du correctif CrowdStrike. Déguisée en maintenance logicielle essentielle, cette mise à jour a plutôt installé le cheval de Troie d'accès à distance Remcos (RAT) . Ce malware permet un accès à distance non autorisé aux ordinateurs infectés, facilitant ainsi l'espionnage, le vol de données et la compromission accrue des systèmes sensibles.
2. Data Wiper via Phishing Emails : Dans un autre cas, des cybercriminels ont distribué des e-mails se faisant passer pour des mises à jour CrowdStrike. Ces e-mails demandaient aux destinataires de télécharger un fichier ZIP censé contenir un correctif de sécurité nécessaire. Cependant, le fichier contenait en réalité un logiciel malveillant d’effacement de données. Les effaceurs de données sont conçus pour effacer ou corrompre de manière irréversible les données sur les systèmes concernés, entraînant de graves conséquences opérationnelles et de perte de données pour les victimes.

Plans exploitant l’incident

Profitant du chaos provoqué par l'erreur de mise à jour de CrowdStrike, les fraudeurs ont lancé divers stratagèmes frauduleux :

• Faux jetons de crypto-monnaie : les fraudeurs ont fait la promotion de jetons fictifs tels que $CROWDSTRIKE ou $CROWDSTROKE, incitant des individus sans méfiance à divulguer des informations personnelles ou à transférer des crypto-monnaies sous prétexte.
• Offres de compensation : en usurpant l'identité d'entités légitimes, les fraudeurs proposent une compensation aux utilisateurs concernés. Ces offres visaient à inciter les victimes à divulguer des informations sensibles, à payer pour des services inexistants ou à accorder un accès à distance à leurs ordinateurs. De telles actions pourraient entraîner des infections supplémentaires par des logiciels malveillants, des pertes financières et des violations de données.

Canaux et techniques de distribution

Les fraudeurs ont utilisé divers canaux et techniques trompeuses pour propager leurs stratagèmes :

• E-mails de phishing : de faux e-mails de mise à jour CrowdStrike ont été largement diffusés, exploitant la confiance dans les mises à jour logicielles légitimes pour inciter les destinataires à télécharger des logiciels malveillants.

• Faux sites Web et ingénierie sociale : les fraudeurs ont créé des sites Web contrefaits ressemblant à des services légitimes ou à des portails intranet (par exemple, BBVA Intranet), incitant les utilisateurs à installer des logiciels malveillants.

• Comptes de réseaux sociaux compromis : des mises à jour frauduleuses ont également été diffusées via des comptes compromis sur des plateformes comme X (anciennement Twitter), tirant parti d'un large public pour diffuser des liens et du contenu malveillants.

L'incident impliquant la mise à jour défectueuse de CrowdStrike a souligné la nécessité cruciale de mesures de cybersécurité robustes et de vigilance des utilisateurs. Les cybercriminels ont rapidement profité des perturbations provoquées par l’erreur de mise à jour, en déployant des logiciels malveillants sophistiqués et en orchestrant des stratagèmes frauduleux. Les utilisateurs et les organisations doivent rester vigilants contre les tentatives de phishing, les e-mails suspects et les tactiques trompeuses en ligne afin de réduire le risque d'être victime de telles activités dangereuses. Les efforts déployés par des entités légitimes, tels que la publication par Microsoft d'un véritable correctif, sont essentiels pour atténuer les conséquences de tels incidents et restaurer la confiance dans les mesures de sécurité numérique.