Nieuws
image

Criminelen registreren tal van malafide CrowdStrike-domeinen

maandag 29 juli 2024, 14:44 door Redactie, 7 reacties

Sinds de wereldwijde computerstoring van vrijdag 19 april veroorzaakt door CrowdStrike hebben criminelen tal van malafide domeinnamen geregistreerd met de naam van het securitybedrijf er in. Via de domeinen worden zogenaamde updates en oplossingen aangeboden, alsmede zogenaamd juridisch advies. Dat laat internetbedrijf Akamai op basis van eigen onderzoek weten.

De malafide domeinnamen combineren de naam van CrowdStrike met zaken als helpdesk, update of blue screen of death (BSOD), het probleem waar klanten van het securitybedrijf als gevolg van de update mee te maken kregen. Ook zijn er typosquatting domeinen geregistreerd. Dit zijn domeinnamen waarbij de naam van CrowdStrike bewust verkeerd is gespeld. Op basis van het netwerkverkeer stelde Akamai dat deze malafide domeinen veel verkeer krijgen van de publieke sector, onderwijsinstellingen en techsector.

CrowdStrike waarschuwde organisaties vorige week voor een malafide herstelhandleiding die wordt rondgestuurd en informatie lijkt te bevatten over het herstellen van systemen die zijn getroffen door de defecte CrowdStrike-update. Het document is voorzien van malafide macro's. Wanneer gebruikers of beheerders deze macro's inschakelen wordt er malware op het systeem gedownload. Deze "Daolpu" malware steelt inloggegevens en cookies uit Google Chrome en Mozilla Firefox en stuurt die terug naar de aanvallers.

Image

Reacties (7)
Reageer met quote
29-07-2024, 15:47 door Anoniem
Crowdstrike had die namen ook zelf kunnen registreren.
Ze wisten dat crimelen misbruik van de situatie gingen maken, daar hebben ze ook voor gewaarschuwd.
Reageer met quote
29-07-2024, 16:39 door Anoniem
Door Anoniem: Crowdstrike had die namen ook zelf kunnen registreren.
Ze wisten dat crimelen misbruik van de situatie gingen maken, daar hebben ze ook voor gewaarschuwd.
Lekker is dat. Is de (reputatie)schade daar en dan ook nog worden opgezadeld met een kostenpost aan symptoombestrijding? Beter kan het worden besteed aan kwaliteit ven de software en (ex-)personeelsbeleid. Want de focus primair gericht op marketing, features en symptoombestrijding boet gegarandeerd aan scherpte in zoals gebleken.
Reageer met quote
29-07-2024, 19:04 door Anoniem
Door Anoniem: Crowdstrike had die namen ook zelf kunnen registreren.
Ze wisten dat crimelen misbruik van de situatie gingen maken, daar hebben ze ook voor gewaarschuwd.
Hoe wil je dat dan doen?
Als je die namen daarboven zit staan denk je "ja natuurlijk die had je kunnen registreren" maar je kunt wel miljoenen van dat soort namen bedenken...
Het komt allemaal terug op het kernprobleem dat we het hebben laten gebeuren dat dit soort namen normaal geworden zijn.
Als Piet Beertema het nu nog voor het zeggen had dan kon 1 bedrijf maar 1 naam registreren (in .nl was dat).
Dus CrowdStrike registreert crowdstrike.com en als ze dan iets met update of claim of outage willen dan wordt dat update.crowdstrike.com of claim.crowdstrike.com of outage.crowdstrike.com.
Als het niet eindigt op crowdstrike.com dan is het NIET van CrowdStrike.
Die duidelijkheid is er nu niet omdat ieder bedrijf tientallen namen registreert en je niet meer weet van wie het is.
Reageer met quote
29-07-2024, 20:10 door Anoniem
Waarom moet crowdstrike betalen voor domheid van gebruikers met een contract en contact informatie?
Reageer met quote
29-07-2024, 20:12 door Anoniem
Ik mag hopen dat de mensen die met Crowdstrike werken in staat zijn om een certificaatje te controleren en de authenticiteit van een website vast te stellen.
Reageer met quote
30-07-2024, 10:07 door AX0 bv
Crowdstrike demonstreert wel een paar belangwekkende dingen....
In de eerste plaats dat zij zelf updates niet testen en aansluitend hoe bedroevend het schijnt te zijn gesteld met het niveau van de automatiseerders van de 'getroffen' organisaties en entiteiten.

Als je domweg auto-updates accepteert, van wie dan ook, heb je de IT security van de enteiteit waarvoor je werkt niet erg op je netvlies staan. Dat in de marge.

Een belangrijke derde
Is dat meer dan 85% van de huidige generaties automatiseerders klaarblijkelijk achterover leunen en niet verder denken dan de lijntjes van hun eigen discipline. Ergo, er niet zelf op komen na te denken dat cybercriminelen er alles aan doen hun handelen te gelde te maken. En daar zijn zijn heel erg inventief en creatief in. Dat betekent dus dat die 85%, vaak duurbetaalde professionals, mede verantwoordelijk kunnen worden gesteld voor schade door niet acteren veroorzaakt.

En steeds meer cliënten van de automatiseerders beginnen dat nu (gelukkig) ook in te zien.
Reageer met quote
30-07-2024, 10:38 door Anoniem
Hoog tijd dat de organisaties die verantwoordelijk zijn voor domeinnamen verplicht worden om nieuwe registraties te checken. Ik weet dat clubs als RIPE daar helemaal geen zin in hebben, maar het registreren van malafide domeinnamen is nu veel te makkelijk. Ik wed dat dit met artificial intelligence prima is aan te pakken, maar dat wordt alleen gebruikt door de grote advertentiehandelaren om mensen te volgen ter bevordering van het consumeren.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure