De pagina bevat technische informatie over de oorzaak van de storing, welke systemen getroffen zijn, en een verklaring van CEO George Kurtz. Het bevat ook links naar het Bitlocker-sleutelherstelproces en naar verschillende pagina’s voor het oplossen van problemen van externe leveranciers.
De pagina linkt naar een kennisbankartikel (alleen toegankelijk voor ingelogde gebruikers) voor het gebruik van een opstartbare USB-sleutel. Gisteren heeft Microsoft zo’n tool uitgebracht die automatisch het problematische kanaalbestand verwijdert dat de machines naar het blauwe scherm leidde.
CrowdStrike plaatste gisteren ook een blogpost waarin werd gewaarschuwd dat bedreigingsactoren de situatie uitbuiten om malware te verspreiden, met behulp van een “kwaadaardig ZIP-archief genaamd crowdstrike-hotfix.zip.”
Het ZIP-archief bevat een HijackLoader de lading die, wanneer uitgevoerd, wordt geladen RemCos. Met name de Spaanse bestandsnamen en instructies in het ZIP-archief geven aan dat deze campagne zich waarschijnlijk richt op CrowdStrike-klanten in Latijns-Amerika (LATAM).
Na problemen met inhoudsupdates werden verschillende typedomeinen geïdentificeerd die werden nagebootst als CrowdStrike. Deze campagne markeert het eerste waargenomen exemplaar van een bedreigingsacteur die een Falcon-inhoudsprobleem uitbuit om kwaadaardige bestanden te verspreiden die gericht zijn op LATAM-gebaseerde CrowdStrike-clients.
CrowdStrike zegt dat organisaties rechtstreeks met CrowdStrike-vertegenwoordigers moeten samenwerken via officiële kanalen en alleen gebruik moeten maken van de begeleiding van hun ondersteuningsteam.