CrowdStrike công bố trung tâm hướng dẫn mới để xử lý sự cố ngừng hoạt động của Windows

CrowdStrike đã xuất bản “Trung tâm hướng dẫn và khắc phục” mới thu thập thông tin chi tiết liên quan đến bản cập nhật bị lỗi khiến 8,5 triệu máy tính Windows trên toàn cầu gặp sự cố vào thứ Sáu tuần trước.

Trang này bao gồm thông tin kỹ thuật về nguyên nhân gây ra sự cố ngừng hoạt động, hệ thống nào bị ảnh hưởng và tuyên bố của Giám đốc điều hành George Kurtz. Nó cũng chứa các liên kết đến những quy trình khôi phục khóa Bitlocker và các trang khác nhau của nhà cung cấp bên thứ ba về cách xử lý sự cố ngừng hoạt động.

Trang này trỏ đến một bài viết cơ sở kiến ​​thức (chỉ những khách hàng đã đăng nhập mới có thể truy cập) về cách sử dụng USB boot. Microsoft đã phát hành một công cụ như vậy ngày hôm qua để tự động xóa file kênh có vấn đề khiến máy bị lỗi màn hình xanh.

CrowdStrike cũng đã xuất bản một blog ngày hôm qua cảnh báo rằng các tác nhân đe dọa đã lợi dụng tình hình này để phát tán phần mềm độc hại bằng cách sử dụng “kho lưu trữ ZIP độc hại có tên là Crowstrike-hotfix.zip”.

Kho lưu trữ ZIP chứa payload HijackLoader mà khi được thực thi sẽ load RemCos. Đáng chú ý, tên file và hướng dẫn bằng tiếng Tây Ban Nha trong kho lưu trữ ZIP cho thấy chiến dịch này có thể nhắm mục tiêu đến khách hàng CrowdStrike có trụ sở tại Châu Mỹ Latinh (LATAM).

Sau này trong một blog, CrowdStrike cho biết:

Sau sự cố cập nhật nội dung, một số domain mạo danh CrowdStrike đã được xác định. Chiến dịch này đánh dấu trường hợp đầu tiên được quan sát thấy trong đó tác nhân đe dọa đã lợi dụng vấn đề nội dung Falcon để phân phối các file độc hại nhắm mục tiêu vào khách hàng CrowdStrike dựa trên LATAM.

CrowdStrike cho biết các tổ chức chỉ nên làm việc trực tiếp với đại diện của CrowdStrike bằng những kênh chính thức và chỉ nên sử dụng hướng dẫn mà nhóm hỗ trợ của họ cung cấp.