ตามคำเตือนจากรัฐบาลสหรัฐฯ และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์หลายราย อาชญากรทางไซเบอร์กำลังฉวยโอกาสจากความวุ่นวายจากการขัดข้องทางเทคโนโลยีครั้งใหญ่ที่เกิดไปทั่วโลกเมื่อวันศุกร์ที่ผ่านมา ด้วยการโปรโมตเว็บไซต์ปลอมที่เต็มไปด้วยซอฟต์แวร์ที่เป็นอันตรายซึ่งออกแบบมาเพื่อแฝงตัวโจมตีเหยื่อ ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวแฮกเกอร์ได้จัดตั้งเว็บไซต์ปลอมขึ้นมาเพื่อดึงดูดผู้คนที่กำลังมองหาข้อมูลหรือวิธีแก้ปัญหาการล่มของไอทีทั่วโลก แต่ในความเป็นจริงแล้วเว็บไซต์ได้รับการออกแบบมาเพื่อรวบรวมข้อมูลของผู้เยี่ยมชมหรือเพื่อละเมิดอุปกรณ์ของพวกเขา

 

เว็บไซต์หลอกลวงใช้ชื่อโดเมนที่มีคำสำคัญ เช่น CrowdStrike บริษัทรักษาความปลอดภัยทางไซเบอร์ที่อยู่เบื้องหลังการอัปเดตซอฟต์แวร์ที่ผิดพลาดซึ่งนำไปสู่วิกฤติ หรือ “Blue Screen of Death” (BSOD) ซึ่งเป็นสิ่งที่คอมพิวเตอร์ที่ได้รับผลกระทบจากความผิดพลาดของ CrowdStrike จะเกิดขึ้นเมื่อบูตเครื่อง เว็บไซต์ปลอมที่ทำการหลอกลวงอาจพยายามล่อลวงเหยื่อโดยสัญญาว่าจะแก้ไขปัญหา CrowdStrike ได้อย่างรวดเร็วหรือหลอกลวงพวกเขาด้วยข้อเสนอสกุลเงินดิจิทัลปลอม

หลังจากการอัปเดตซอฟต์แวร์ CrowdStrike ทั่วโลกขัดข้องเมื่อวันศุกร์ แฮกเกอร์ต่างมองหาโอกาสใช้ประโยชน์จากความสับสนวุ่นวายดังกล่าว

ในแถลงการณ์เกี่ยวกับการหยุดทำงาน ของกระทรวงความมั่นคงแห่งมาตุภูมิกล่าวว่าได้เห็น “ผู้คุกคามใช้ประโยชน์จากเหตุการณ์นี้ในส่งฟิชชิ่งและการโจมตีที่เป็นอันตรายอื่น ๆ”

 

“ให้ระมัดระวังและปฏิบัติตามคำแนะนำจากแหล่งที่ถูกต้องเท่านั้น” แถลงการณ์ที่ออกโดยหน่วยงาน The Department’s Cybersecurity and Infrastructure Security Agency ระบุ CrowdStrike ได้ออกคำแนะนำของตนเองเกี่ยวกับสิ่งที่องค์กรที่ได้รับผลกระทบสามารถทำได้เพื่อตอบสนองต่อปัญหานี้ สถานการณ์ดังกล่าวแสดงให้เห็นว่าเหตุการณ์ข่าวที่มีความผันผวนและมีผลกระทบสูงได้สร้างความเสี่ยงให้กับผู้คนหลายล้านคนอย่างไร เนื่องจากผู้ร้ายพยายามใช้ประโยชน์จากภัยพิบัติ CrowdStrike และในขณะที่องค์กรหลายพันแห่งรีบเร่งเพื่อกู้คืนจากการอัปเดตซอฟต์แวร์ที่ผิดพลาดของ CrowdStrike “มันเป็นรูปแบบมาตรฐานที่เราเห็นหลังจากเหตุการณ์ในระดับนี้” Kenn White นักวิจัยด้านความปลอดภัยอิสระที่เชี่ยวชาญด้านความปลอดภัยเครือข่าย กล่าวในการให้สัมภาษณ์กับ CNN “อาชญากรไม่เหน็ดเหนื่อยในการสร้างสรรค์สำหรับการแสวงหาผลประโยชน์อย่างเพื่อแสวงหาประโยชน์จากกลุ่มที่เปราะบางที่สุด”

 

ในบล็อกโพสต์ของ CrowdStrike กล่าวว่าผู้โจมตีที่เป็นอันตรายไม่เพียงแต่สร้างเว็บไซต์ปลอมเท่านั้น แต่ยังแอบอ้างเป็นพนักงาน CrowdStrike ในอีเมลหลอกลวงและโทรศัพท์ แม้กระทั่งการขายซอฟต์แวร์ปลอมที่อ้างว่าแก้ไขข้อผิดพลาด ตัวอย่างหนึ่งของการกำหนดเป้าหมายลูกค้า CrowdStrike ที่พูดภาษาสเปน บริษัท กล่าวในบล็อกโพสต์ว่า การโจมตีเกิดขึ้นในรูปแบบของไฟล์ชื่อที่ทำให้เข้าใจผิดที่เรียกว่า Crowdstrike-hotfix.zip เมื่อเปิดไฟล์จะติดตั้งซอฟต์แวร์ที่เป็นอันตรายซึ่งจะโทรศัพท์ไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ควบคุมที่บ้านและอาจใช้เพื่อให้คำแนะนำเพิ่มเติมเกี่ยวกับมัลแวร์

Malware loader disguised as hotfix from CrowdStrike ที่มา: AnyRun

ขณะนี้ยังไม่มีการแก้ไขอัตโนมัติสำหรับการกู้คืนจากความผิดพลาดของซอฟต์แวร์ CrowdStrike ซึ่งผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าจะหมายถึงการกู้คืนที่ยาวนานและลำบาก ซึ่งมีแนวโน้มว่าจะต้องใช้เงินหลายล้านเหรียญสหรัฐ (หรือหลายพันล้านเหรียญสหรัฐ)

 

ในช่วงไม่กี่ปีที่ผ่านมา Federal Trade Commission ได้ชี้ให้เห็นถึงมีการหลอกลวงที่เพิ่มขึ้นซึ่งอาชญากรไซเบอร์แอบอ้างเป็นเจ้าหน้าที่หรือหน่วยงานของรัฐ เช่น Internal Revenue Service หรือ Social Security Administration ในช่วงการระบาดของ Covid-19 แฮ็กเกอร์ใช้วิธีโพสต์เป็นประธาน FTC Lina Khan และส่งอีเมลปลอมที่อ้างว่าหน่วยงานดังกล่าวกำลังแจกจ่ายกองทุนบรรเทาทุกข์จากโรคระบาด ส่งผลให้ FTC ขอร้องผู้บริโภคไม่ให้ตอบสนองต่อข้อความเหล่านั้น FTC กล่าว ชาวอเมริกันได้สูญเสียเงินหลายร้อยล้านดอลลาร์จากการหลอกลวงการแอบอ้างบุคคลอื่น

 

ในสถานการณ์เช่นการหยุดทำงานของ CrowdStrike ซึ่งผู้คนกำลังค้นหาข้อมูลในช่วงวิกฤตอย่างเร่งด่วนเพื่อหาวิธีแก้ไขอย่างรวดเร็วและกระหายในการหาทางแก้ไข ฟิชชิ่งอาจทำให้ผู้คนและองค์กรที่มีเจตนาดีเข้าใจผิดให้ทำตามขั้นตอนที่ผิด และทำให้การจัดการที่ไม่ดีแย่ลงไปอีก อันตรายจากฟิชชิ่งยังก่อให้เกิดความเสี่ยงอื่นๆ ด้วยเช่นกัน บางองค์กรอาจตัดสินใจด้วยตนเองที่จะลดระดับลงหรือปิดการใช้งานการป้องกันความปลอดภัยทางไซเบอร์ในขณะที่พยายามทำให้การดำเนินงานกลับสู่ปกติ

 

หากธุรกิจตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่งที่ทำให้ข้อมูลสำคัญหรือระบบหลักเสียหาย ก็อาจส่งผลกระทบกระเพื่อมไปยังลูกค้าองค์กรและผู้บริโภคของพวกเขา Brett Callow กรรมการผู้จัดการฝ่ายปฏิบัติการด้านความปลอดภัยทางไซเบอร์ของ FTI Consulting เตือน

 

โฮสต์ Windows หลายล้านเครื่องล้มเหลว

ข้อบกพร่องในการอัปเดตซอฟต์แวร์ของ CrowdStrike มีผลกระทบอย่างมากต่อระบบ Windows ในองค์กรหลายแห่ง ทำให้อาชญากรไซเบอร์มีโอกาสที่ดีในการโจมตี ตามที่ Microsoft ระบุว่าการอัปเดตที่ผิดพลาด “ส่งผลกระทบต่ออุปกรณ์ Windows 8.5 ล้านเครื่องหรือน้อยกว่าหนึ่งเปอร์เซ็นต์ของเครื่อง Windows ทั้งหมด” ความเสียหายเกิดขึ้นใน 78 นาที ระหว่างเวลา 04:09 UTC ถึง 05:27 UTC

 

แม้ว่าระบบที่ได้รับผลกระทบจะมีเปอร์เซ็นต์ต่ำและความพยายามของ CrowdStrike ในการแก้ไขปัญหาอย่างรวดเร็ว แต่ผลกระทบที่เกิดก็มีมหาศาล คอมพิวเตอร์ขัดข้องส่งผลให้เที่ยวบินหลายพันเที่ยวบินถูกยกเลิก กิจกรรมในบริษัททางการเงินต้องหยุดชะงัก โรงพยาบาล องค์กรสื่อ รถไฟ และแม้แต่บริการฉุกเฉินก็ได้รับผลกระทบ

 

ในโพสต์ Post-mortem blog เมื่อวันเสาร์ที่ผ่านมา CrowdStrike อธิบายว่าสาเหตุของการหยุดทำงานคือการอัปเดต Channel file (sensor configuration) ไปยังโฮสต์ Windows (เวอร์ชัน 7.11 ขึ้นไป) ที่ก่อให้เกิดข้อผิดพลาดที่นำไปสู่ “Blue Screen of Death” (BSOD) แม้ว่าไ Channel file ที่ได้รับผลกระทบต่อข้อผิดพลาดได้รับการระบุแล้วและไม่ก่อให้เกิดปัญหาอีกต่อไป บริษัทที่ยังคงประสบปัญหาในการกู้คืนระบบให้เป็นการทำงานเป็นปกติ สามารถปฏิบัติตามคำแนะนำได้ที่ CrowdStrike’s instructions to recover individual hosts, BitLocker Keys และ Cloud-based environments