Recentemente, la nota azienda di cybersecurity CrowdStrike ha subito una situazione critica a causa di un aggiornamento difettoso che ha provocato interruzioni a livello globale dei dispositivi Windows. Questo incidente ha aperto la strada ai cybercriminali, che hanno sfruttato la confusione per distribuire il malware Remcos RAT ai clienti di CrowdStrike in America Latina, sotto il pretesto di fornire una soluzione rapida.

La catena di attacco inizia con la distribuzione di un file ZIP denominato "crowdstrike-hotfix.zip". Questo archivio contiene un loader di malware conosciuto come Hijack Loader, che a sua volta avvia il payload di Remcos RAT. All'interno del file ZIP si trova anche un documento di testo con istruzioni in spagnolo che invita gli utenti a eseguire un file eseguibile ("setup.exe") per risolvere il problema.

CrowdStrike ha identificato che la campagna è probabilmente mirata ai clienti latinoamericani, considerando i nomi dei file e le istruzioni in spagnolo. Questo attacco è stato attribuito a un gruppo sospetto di criminali informatici. L'azienda ha riconosciuto che un aggiornamento di configurazione del sensore inviato alla sua piattaforma Falcon per Windows il 19 luglio 2024 ha innescato un errore logico, causando la schermata blu della morte (BSoD) su numerosi sistemi e paralizzando molte aziende.

Gli attori malevoli hanno rapidamente approfittato del caos, creando domini che imitano CrowdStrike e offrendo servizi alle aziende colpite in cambio di pagamenti in criptovaluta. CrowdStrike raccomanda ai clienti interessati di comunicare esclusivamente attraverso canali ufficiali e di seguire le indicazioni tecniche fornite dai team di supporto.

Microsoft, che sta collaborando con CrowdStrike negli sforzi di risanamento, ha dichiarato che l'incidente ha colpito 8,5 milioni di dispositivi Windows a livello globale, meno dell'uno per cento di tutte le macchine Windows. La crisi ha evidenziato i rischi associati alla dipendenza da catene di approvvigionamento monoculturali e ha sottolineato l'importanza di operare con implementazioni sicure e piani di recupero dai disastri.

Microsoft ha reso disponibile un nuovo strumento di recupero per aiutare gli amministratori IT a riparare i dispositivi Windows colpiti dall'aggiornamento difettoso, mentre CrowdStrike ha pubblicato un nuovo Hub di Risanamento e Guida con dettagli sull'incidente e su come identificare e risolvere i problemi, inclusi quelli legati a BitLocker.

Nel frattempo, sono emerse segnalazioni di aggiornamenti di CrowdStrike che hanno causato il crash simultaneo di tutti i server Debian Linux in un laboratorio di tecnologia civica non specificato, oltre a scatenare panici del kernel nelle distribuzioni Red Hat e Rocky Linux.

CrowdStrike ha dichiarato che un "numero significativo" dei dispositivi Windows colpiti è stato ripristinato e reso operativo. Tuttavia, l'incidente è stato sfruttato anche per condurre truffe e distribuire malware, con un gruppo hacktivista chiamato Handala che ha approfittato della situazione per diffondere data wipers come parte di una campagna di phishing mirata agli utenti di CrowdStrike in Israele.