Nach der CrowdStrike-Panne vom 19. Juli 2024 entdeckten Akamai-Forscher mehr als 180 neu erstellte schädliche Domains. Diese gaben vor, Betroffenen bei der Navigation durch ihre IT-Ausfälle behilflich zu sein. Mit mehr als 20 Prozent des beobachteten Angriffsverkehrs gehörten gemeinnützige Organisationen und das Bildungswesen zu den am stärksten betroffenen Branchen.
Akamai hat die am häufigsten besuchten bösartigen Domains im Zusammenhang mit dem Ausfall identifiziert und eine Liste von Indikatoren der Kompromittierung (IOCs) erstellt. Unternehmen können diese in ihre Blockierliste aufnehmen oder selbst weiter analysieren.
Vorgeschichte: IT-Ausfall legte 8,5 Millionen Rechner lahm
Am Freitag, den 19. Juli 2024, wurde die Welt von einem weitreichenden IT-Ausfall erschüttert, der nach einem kürzlich von CrowdStrike durchgeführten Falcon-Update auftrat. Das Update löste Fehlerprüfungen auf Windows-Hosts aus, die zu einer globalen Flut von Bluescreens of Death (BSODs) führten und Milliarden von Systemausfällen an verschiedenen Orten verursachten.
Weltweit waren 8,5 Millionen Geräte und fast jede Branche betroffen. Die Auswirkungen trafen auch kritische Dienste wie Luftfahrt, Behörden sowie das Gesundheitswesen und führten zu massiven Einschränkungen, die teilweise noch Tage nach dem Vorfall andauerten.
Bedrohungsakteure richteten betrügerische Websites ein
Viele verunsicherte Nutzer suchten online nach Hilfe. Wie so oft bei Ereignissen mit großer Aufmerksamkeit versuchten Bedrohungsakteure, die Situation auszunutzen und von der durch den Ausfall verursachten Verwirrung zu profitieren. Sie richteten betrügerische Websites ein, die auf betroffene CrowdStrike-Kunden abzielten, Informationen abschöpften und Malware verbreiteten.
Durch die Analyse der Daten, auf die Akamai in seinem weltweiten Edge-Netzwerk Zugriff hat, konnten die wichtigsten bösartigen Domains identifiziert werden. Die Domains enthalten häufig Keywords wie „bsod“ und „microsoft“, da Nutzer diese Schlüsselwörter als ergänzende Suchbegriffe verwenden, wenn sie ihr Problem beheben wollen.
Darüber hinaus verfügen viele der bösartigen Websites über vertrauensbildende Maßnahmen, die die Benutzer gewöhnlich mit Sicherheit in Verbindung bringen, wie SSL-Validierung oder IT-Support. Zum Zeitpunkt der Veröffentlichung dieses Beitrags hatte Akamai bereits mehr als 180 verschiedene Domains identifiziert, die alle zwischen dem 19. und 21. Juli registriert wurden.
Diese Zahl wird sich voraussichtlich noch erhöhen. Eine der beobachteten bösartigen Domains war unter den 200.000 besten Websites für die zugehörigen Keywords aufgeführt.
Besonders betroffen: Gemeinwohl und Bildung
Üblicherweise tragen Hochtechnologie und Finanzdienstleistungen die Hauptlast von Zero-Day-Angriffen. Bei diesen Angriffen stechen allerdings der gemeinnützige und der Bildungssektor sowie der öffentliche Sektor mit mehr als 29 Prozent hervor. Diese Branche ist auch in Bezug auf die Abhilfemaßnahmen stark betroffen.
Trotz steigender IT-Budgets haben die oft kleinen Sicherheitsteams von Bildungseinrichtungen Schwierigkeiten, die Infrastruktur gegen Hacker zu schützen. Cyberkriminellen ist das bewusst und sie wählen ihre Ziele vermutlich danach aus.
Akamai erwartet weitere Phishing-Versuche
Es ist wahrscheinlich, dass mehr Phishing-Versuche im Zusammenhang mit dem Outage auftreten werden. Bemerkenswert ist, dass die Angreifer aufgrund der großen Aufmerksamkeit für diesen Vorfall nun ein besseres Verständnis für die Technologie-Stacks bestimmter Ziele haben.
Dies könnte relevant werden, wenn ein zukünftiges CVE im Falcon-Produkt entdeckt wird. Angreifer werden immer raffinierter: Jedes zusätzliche Puzzleteil, das sie haben, um eine Technologie zu durchschauen, macht es einfacher, Angriffe umzusetzen.