Công ty an ninh mạng CrowdStrike, đang phải đối mặt với chỉ trích vì gây gián đoạn CNTT trên toàn thế giới bằng cách phát hành bản cập nhật có lỗi cho các thiết bị Windows, hiện đang cảnh báo rằng các tác nhân đe dọa đang lợi dụng tình hình để phân phối Remcos RAT cho khách hàng của công ty ở Mỹ Latinh dưới chiêu bài cung cấp bản sửa lỗi.

Chuỗi tấn công bao gồm việc phân phối tệp lưu trữ ZIP có tên ” crowdstrike-hotfix.zip “, trong đó có chứa trình tải phần mềm độc hại có tên là Hijack Loader (hay còn gọi là DOILoader hoặc IDAT Loader), sau đó khởi chạy phần mềm độc hại Remcos RAT.

Cụ thể, tệp lưu trữ còn bao gồm một tệp văn bản (“instrucciones.txt”) có hướng dẫn bằng tiếng Tây Ban Nha, yêu cầu mục tiêu chạy tệp thực thi (“setup.exe”) để khắc phục sự cố.

“Đáng chú ý, tên tệp tiếng Tây Ban Nha và hướng dẫn trong kho lưu trữ ZIP cho thấy chiến dịch này có khả năng nhắm vào khách hàng CrowdStrike có trụ sở tại Mỹ Latinh (LATAM)”, công ty cho biết , đồng thời quy kết chiến dịch này cho một nhóm tội phạm điện tử bị tình nghi.

Vào thứ sáu, CrowdStrike thừa nhận rằng bản cập nhật cấu hình cảm biến thường lệ được đẩy lên nền tảng Falcon dành cho các thiết bị Windows vào lúc 04:09 UTC ngày 19 tháng 7 đã vô tình gây ra lỗi logic dẫn đến Màn hình xanh chết chóc (BSoD), khiến nhiều hệ thống không hoạt động và khiến các doanh nghiệp rơi vào tình trạng hỗn loạn.

Sự kiện này ảnh hưởng đến những khách hàng đang sử dụng cảm biến Falcon cho Windows phiên bản 7.11 trở lên, những người trực tuyến từ 04:09 đến 05:27 sáng theo giờ UTC.

Những kẻ xấu đã không lãng phí thời gian để lợi dụng sự hỗn loạn do sự kiện này tạo ra để thiết lập các tên miền đánh máy giả mạo CrowdStrike và quảng cáo dịch vụ cho các công ty bị ảnh hưởng bởi sự cố này để đổi lấy khoản thanh toán bằng tiền điện tử.

Những khách hàng bị ảnh hưởng được khuyến cáo “đảm bảo liên lạc với đại diện của CrowdStrike thông qua các kênh chính thức và tuân thủ hướng dẫn kỹ thuật mà nhóm hỗ trợ của CrowdStrike đã cung cấp”.

Microsoft, công ty đang hợp tác với CrowdStrike trong các nỗ lực khắc phục sự cố, cho biết sự cố kỹ thuật số đã làm tê liệt 8,5 triệu thiết bị Windows trên toàn cầu, tương đương chưa đến một phần trăm tổng số máy Windows.

Sự phát triển này – một lần nữa làm nổi bật những rủi ro liên quan đến việc dựa vào chuỗi cung ứng đơn văn hóa – đánh dấu lần đầu tiên tác động thực sự và quy mô của sự kiện mạng có khả năng gây gián đoạn nhất trong lịch sử được công bố chính thức. Các thiết bị Mac và Linux không bị ảnh hưởng bởi sự cố ngừng hoạt động.

“Sự cố này chứng minh bản chất kết nối của hệ sinh thái rộng lớn của chúng tôi — các nhà cung cấp đám mây toàn cầu, nền tảng phần mềm, nhà cung cấp bảo mật và các nhà cung cấp phần mềm khác, cũng như khách hàng”, gã khổng lồ công nghệ cho biết . “Đây cũng là lời nhắc nhở về tầm quan trọng của việc tất cả chúng ta trong hệ sinh thái công nghệ ưu tiên vận hành với triển khai an toàn và phục hồi sau thảm họa bằng các cơ chế hiện có”.

Cập nhật#
Microsoft đã cung cấp một công cụ phục hồi mới để giúp quản trị viên CNTT sửa chữa các máy tính Windows bị ảnh hưởng bởi bản cập nhật lỗi của CrowdStrike khiến 8,5 triệu thiết bị Windows bị sập.

CrowdStrike cũng đã công bố Trung tâm hướng dẫn và khắc phục mới đóng vai trò là nơi cung cấp mọi thông tin chi tiết liên quan đến sự cố, liệt kê các cách xác định máy chủ bị ảnh hưởng và giải quyết chúng, bao gồm cả những máy chủ đã được mã hóa bằng BitLocker.

Động thái này diễn ra sau khi có báo cáo về các bản cập nhật CrowdStrike khiến tất cả máy chủ Debian Linux trong một phòng thí nghiệm công nghệ dân sự giấu tên bị sập cùng lúc và từ chối khởi động cũng như gây ra lỗi kernel panic trong các bản phân phối Red Hat và Rocky Linux .