【Windows大死機】全球經濟損失料逾千億港元 專家籲提防黑客借 CrowdStrike 發動攻擊
網絡安全供應商 CrowdStrike 更新軟件出現缺陷,導致微軟 Windows 系統出現「藍 Mon」,全球有多達 850 萬裝置受影響,有專家估計全球經濟損失高達 150 億美元(約 1,171 億港元)。出事源頭 CrowdStrike 現已向用戶公布解決措施,表示正積極協助受影響客戶;香港網絡安全事故協調中心(HKCERT)亦呼籲用戶需警惕借此事件乘勢而起的網絡釣魚攻擊。
事件爆發後,CrowdStrike 在官方網站及社交平台上更新最新消息。CrowdStrike 創辦人兼行政總裁 George Kurtz 在社交媒體上,確認今次事故受 Windows 主機單一內容更新中的缺陷有關,Mac 及 Linux 系統未有受到影響,向受影響人士致歉;又表示已了解問題所在並展開修復程序,多次強調並非網絡攻擊,今次問題未有影響其 Falcon 平台系統運作。
根據 CrowdStrike 最新帖文(香港時間 22/7 早上 7 時)指,受影響的 850 萬個 Windows 裝置中,有部分已恢復正常運作,並與客戶一同測試新技術以加速回復受影響系統,建議客戶透過以下官方渠道獲取最新消息:
.https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
此外,保險公司 Parametrix 估計,美國財富 500 強企業(不包括微軟)將因此事件面臨 54 億美元(約 421.2 億港元)經濟損失。其首席執行官 Jonatan Hatzor 又指,各公司都在努力恢復電腦的運行速度,估計是次網絡中斷造成的全球經濟損失總額,可能達到 150 億美元 (約 1,171 億港元) 。
HKCERT 呼籲小心假冒 CrowdStrike 補救方案
而香港網絡安全事故協調中心(HKCERT)引述有報道指,已有網絡攻擊者利用上述事件進行網絡釣魚及其他惡意活動,包括:
.向客戶發送冒充 CrowdStrike 支援的釣魚電子郵件
.在電話中冒充 CrowdStrike 工作人員
.冒充獨立研究人員,聲稱有證據表明該技術問題與網絡攻擊有關,並提供補救見解
.銷售聲稱可以自動從內容更新問題中恢復的腳本
事隔數天,HKCERT 再呼籲,發現有不法份子不斷演變攻擊手法,包括使用假冒的 CrowdStrike 恢復手冊、假冒的補救方案及軟件更新來傳送未識別的惡意軟件,可能導致敏感數據洩露、系統崩潰和數據丟失。
假冒修復手冊
一種新的惡意軟件透過包含巨集的 Word 文件傳播。這些文件假裝是 Microsoft 修復指南來欺騙人們打開它們。一旦打開,巨集會激活並開始竊取像密碼這樣的敏感信息。這些被竊取的信息隨後被發送到攻擊者的伺服器。
假冒補救方案
通過網絡釣魚網站和假冒的內聯網門戶來散播假冒的 CrowdStrike 熱修復程序。假冒的熱修復程序傳送了一個惡意軟件加載器,然後放置了一個可以被黑客控制的遠程訪問工具在受感染的系統上。
假冒 CrowdStrike 更新
網絡釣魚電子郵件包含一個鏈接,下載一個 ZIP 檔案包含了名為 「Crowdstrike.exe」 的可執行檔。受害人執行後,一個 「數據抹除器」 會被提取到 「%Temp%」 文件夾下並啟動,從而摧毀設備上的數據。
HKCERT 建議用戶只透過官方渠道與 CrowdStrike 代表溝通,並遵守 CrowdStrike 支援團隊提供的技術指導。