Di recente è stato scoperto un caso intrigante di insider trading di CrowdStrike. CrowdStrike, un attore di spicco nel settore della sicurezza informatica, ha assistito a una notevole attività di insider trading poco prima di un grave interruzione IT globaleQuesta interruzione ha influenzato i servizi per numerosi clienti, compresi quelli in settori critici come l’assistenza sanitaria e il trasporto aereo
Di cosa si tratta con questo incidente di insider trading di CrowdStrike?
Secondo la Securities Exchange Commission (SEC) archiviazioneil Chief Security Officer di CrowdStrike, Shawn Henry, ha eseguito una vendita di 4.000 azioni lunedì 15 luglio 2024, per un importo di circa 1,485 milioni di dollari. Questa transazione è avvenuta solo pochi giorni prima dell’interruzione IT del 19 luglio, che ha portato a un calo significativo del prezzo delle azioni di CRWD.
La vendita da parte di Henry è stata condotta secondo un piano di trading 10b5-1 prestabilito che aveva predisposto il 20 dicembre 2023. Tali piani mirano a proteggere gli insider dalle accuse di trading su informazioni non pubbliche stabilendo programmi prestabiliti per le vendite di azioni. Nonostante questa grande vendita, Henry mantiene ancora una quota sostanziale in CrowdStrike, detenendo 183.091 azioni dopo la transazione.
Per vostra informazione, la transazione è stata effettuata utilizzando un piano 10b5-1 predisposto in anticipo e stabilito il 20 dicembre 2023.
Ha venduto 4.000 azioni e ne possiede ancora 183.091 foto.twitter.com/cvRKqhDNLO
— Hedge Vision (@HedgeVision) 20 luglio 2024
Mentre il piano 10b5-1 mira a prevenire l’insider trading, la tempistica della vendita di Henry così vicina alla successiva interruzione IT ha sollevato preoccupazioni tra i regolatori e gli azionisti. Ciò solleva dubbi sul fatto che la tempistica di questa attività di insider trading di CrowdStrike suggerisca una qualche conoscenza preventiva dei problemi che stavano per verificarsi.
Microsoft interviene con uno strumento di ripristino
Microsoft ha sviluppato un nuovo strumento per assistere gli amministratori IT nel ripristino dei computer Windows interessati da un aggiornamento difettoso di CrowdStrike, che venerdì scorso ha causato il crash di 8,5 milioni di dispositivi. Questo strumento consente la creazione di un’unità USB avviabile per accelerare il processo di ripristino dei sistemi interessati.
Sebbene CrowdStrike abbia rilasciato una patch per risolvere gli errori Blue Screen of Death causati dal loro software, molte macchine non sono state in grado di ricevere automaticamente questo aggiornamento. Alcuni amministratori hanno segnalato il successo riavviando ripetutamente i PC per attivare l’aggiornamento, mentre altri hanno dovuto entrare manualmente in modalità provvisoria per rimuovere il file CrowdStrike difettoso.
La soluzione di Microsoft semplifica lo sforzo di ripristino consentendo agli amministratori IT di avviare da una USB nell’ambiente Windows PE, accedere direttamente al disco della macchina ed eliminare automaticamente il file problematico. Questo approccio elimina la necessità di entrare in modalità provvisoria o di avere diritti amministrativi sul dispositivo poiché lo strumento funziona indipendentemente dall’installazione locale di Windows. Per i dischi protetti dalla crittografia BitLocker, lo strumento richiederà la chiave di ripristino prima di procedere.
Microsoft ha delineato i passaggi di ripristino per le macchine virtuali Windows su Azure e ha pubblicato guide di ripristino complete per tutti i dispositivi Windows 10 e Windows 11 sul proprio sito web di supportoQuesta attività di insider trading di CrowdStrike potrebbe avere qualche collegamento con i problemi di aggiornamento software?
L’interruzione di CrowdStrike è responsabile del blocco del tuo PC Windows
Attenzione ai truffatori che sfruttano l’interruzione IT
Dopo la recente massiccia interruzione dei sistemi informatici, le aziende si trovano ora ad affrontare un’ulteriore minaccia da parte di truffatori e hacker desiderosi di sfruttare la situazione.
L’incidente è iniziato quando un errore in un aggiornamento per gli host Windows è stato rilasciato dalla società di sicurezza informatica con sede in Texas CrowdStrike. Questo errore ha portato a un’interruzione diffusa in settori critici come viaggi, banche, vendita al dettaglio e assistenza sanitaria da giovedì sera a venerdì.
In un post sul blog di venerdì, il CEO di CrowdStrike George Kurtz ha messo in guardia sul fatto che “gli avversari e i malintenzionati cercheranno di sfruttare eventi come questo”.
Ha consigliato a tutti di essere cauti e di assicurarsi di comunicare con i rappresentanti ufficiali di CrowdStrike, sottolineando che il loro blog e i canali di supporto tecnico sono le fonti principali per gli aggiornamenti.
Il giorno seguente, CrowdStrike ha rivelato che gli autori di attacchi stavano usando l’incidente per distribuire un archivio ZIP dannoso denominato crowdstrike-hotfix.zip. Questo archivio contiene un payload HijackLoader che, quando eseguito, installa Remcos, consentendo agli aggressori di controllare i computer infetti.
In un successivo post sul blog di domenica, l’azienda ha ribadito l’importanza di verificare le comunicazioni con i rappresentanti ufficiali di CrowdStrike.
Anche la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha commentato domenica, evidenziando che i criminali informatici stanno sfruttando l’interruzione per condurre attività dannose, tra cui tentativi di phishing. La CISA sta collaborando attivamente con CrowdStrike e altre entità private e governative per monitorare le minacce emergenti.
Falcon Sensor: impatto diffuso sui sistemi Windows e Linux
Il software Falcon Sensor di CrowdStrike, tristemente noto per aver causato interruzioni diffuse sui computer Windows la scorsa settimana, ha causato crash anche sui sistemi Linux.
A giugno, Red Hat allertato i suoi utenti a un problema, descritto come “Kernel panic osservato dopo l’avvio di 5.14.0-427.13.1.el9_4.x86_64 dal processo falcon-sensor”, che ha interessato alcuni utenti di Red Hat Enterprise Linux 9.4 durante l’avvio sulla versione kernel 5.14.0-427.13.1.el9_4.x86_64.
Un altro problema, intitolato “Il sistema si è bloccato a cshook_network_ops_inet6_sockraw_release+0x171a9”, ha esortato gli utenti a cercare aiuto per potenziali problemi correlati al modulo kernel falcon_lsm_serviceable della suite di sicurezza CrowdStrike Falcon Sensor/Agent. Red Hat ha consigliato di disabilitare il software CrowdStrike per stabilizzare temporaneamente il sistema mentre il problema viene esaminato. È stato notato che questo problema si verifica anche nelle release 6 e 7.
I kernel panic di Linux sono paragonabili alle schermate blu di errore di Windows, il che indica possibili problemi più ampi a CrowdStrike, dato che questi incidenti si sono verificati poco prima delle diffuse interruzioni di Windows.
È stato chiesto a CrowdStrike di commentare i problemi individuati da Red Hat; saranno forniti aggiornamenti non appena verranno ricevute nuove informazioni.
Con la recente scoperta dell’attività di insider trading di CrowdStrike, potrebbe esserci altro da scoprire sulle decisioni che hanno portato all’interruzione e all’impatto più ampio? Vi terremo aggiornati sugli ultimi incidenti relativi all’interruzione di CrowdStrike.
Crediti delle immagini in evidenza: Charles Precursore/Unsplash
