V pátek 19. července 2024 zasáhl širokou škálu zařízení s operačním systémem Microsoft Windows po celém světě problém způsobující nefunkčnost těchto zařízení, konkrétně kolaps operačního systému do tzv. „modré obrazovky smrti“ a následné neschopnosti se spustit. Za vznikem stojí chyba v aktualizaci Endpoint Detection and Response (EDR) platformy CrowdStrike Falcon.
Společnost CrowdStrike během několika hodin chybnou aktualizaci stáhla a vydala návod na opravu, který zahrnoval lokalizaci a odstranění problematického souboru. Ačkoliv byla oprava principiálně jednoduchá, zasažené počítače bylo třeba manuálně spustit v nouzovém režimu. To znamenalo, že se každé zasažené zařízení muselo opravit individuálně, což výrazně prodloužilo dobu a dopady výpadku.
Zasaženi byli uživatelé platformy Falcon s OS Windows. Podle Microsoftu bylo výpadkem poznamenáno přes osm a půl milionu zařízení, což je méně než jedno procento všech zařízení s OS Windows.
I přesto se jedná o doposud největší IT výpadek v historii. Dopady incidentu se dotkly takřka všech sektorů, s pravděpodobně nejvýznamnějšími dopady se potýkaly aerolinky. Dále byly zasaženy např. televizní stanice, objednávkové systémy k lékaři, samoobslužné pokladny, bankovní služby nebo železnice. V rámci České republiky NÚKIB eviduje deset zasažených subjektů, přičemž u dvou z nich byly dopady výpadku hodnoceny jako závažné.
Krátce po události začali útočníci zneužívat nastalé situace k jiným škodlivým kybernetickým aktivitám. Jedná se zejména o podvodné e-maily či telefonáty, ve kterých se podvodníci vydávali za zaměstnance společnosti CrowdStrike, případně za nezávislé výzkumníky nabízející technickou pomoc. Hlavním cílem podvodníků bylo přesvědčit oběť, aby nainstalovala malware, který poskytli pod záminkou, že se jedná o opravný nástroj nebo skript, který má pomoci vyřešit výpadek nebo jeho možné dopady.
Před vlnou takových phishingových aktivit varovala přímo společnost CrowdStrike a její zjištění se shodují s veřejně dostupnými zdroji i informacemi od partnerů NÚKIB. Podle dostupných informací byl výpadek zneužíván jak kyberkriminálními, tak státem sponzorovanými aktéry.
Zdroj: IT SECURITY NETWORK NEWS