Área do cliente
Ir para a lista

Apagão cibernético CrowdStrike: causas da falha, soluções e consequências

Entenda o apagão cibernético global causado pelo software da CrowdStrike, descubra como corrigir a falha no Windows e explore as consequências do incidente.

30 de Julho 2024 | 14:00

Aprox. 15 minutos de leitura.

No dia 19 de julho de 2024, o mundo vivenciou o maior apagão cibernético já registrado, resultado de uma falha crítica na atualização do software de segurança da CrowdStrike. 

Embora não tenha sido desencadeado por um ciberataque, o incidente teve forte repercussão, impactando organizações ao redor do globo e paralisando serviços essenciais.

Neste artigo, exploraremos as causas do apagão, explicando como um erro no update da ferramenta de segurança provocou a temida "Tela Azul da Morte" em milhões de dispositivos Windows. 

Também abordaremos as soluções manuais disponíveis para corrigir essa falha e exploraremos as principais consequências negativas do evento.

Além do caos e dos prejuízos financeiros significativos, o apagão expôs as empresas a novos riscos cibernéticos, destacando a necessidade urgente de estratégias de mitigação. Tenha uma boa leitura!

Como a CrowdStrike causou o apagão cibernético global?

O apagão cibernético da CrowdStrike foi causado por uma falha na atualização da sua ferramenta de segurança Sensor Falcon. 

O CrowdStrike Falcon é uma solução XDR que integra funcionalidades de EDR, SIEM e Threat Hunting em uma única plataforma. 

Seu principal objetivo é monitorar os computadores em busca de atividades suspeitas, como malware, e, ao detectar qualquer anomalia, isolar e neutralizar a ameaça.

A atualização, em vez de aprimorar a proteção, resultou em travamentos generalizados em máquinas que utilizam o sistema operacional Windows, levando à temida "Tela Azul da Morte". 

Felizmente, a falha não afetou hosts que operam com sistemas Mac e Linux.

A interrupção de TI teve um impacto significativo em diversos setores ao redor do mundo, afetando aeroportos, bancos, hospitais, empresas e emissoras. 

No Brasil, por exemplo, usuários relataram que aplicativos bancários ficaram fora do ar, evidenciando a gravidade e a extensão do problema.

A CrowdStrike atribuiu a falha no software a um bug no seu sistema de controle de qualidade.

Conforme a empresa, o problema ocorreu devido a um erro no "Content Validator", um dos mecanismos internos de validação de conteúdo, que permitiu que dados problemáticos passassem pelas verificações de segurança. 

Em um comunicado, a CrowdStrike informou que uma das duas instâncias de template foi aprovada na validação, apesar de conter dados de conteúdo problemáticos. 

Esses templates fornecem as instruções para o software identificar e responder a ameaças, e a falha permitiu que uma atualização defeituosa fosse implantada. 

A CrowdStrike, no entanto, não especificou quais eram os dados problemáticos nem os motivos de sua falha. 

A empresa afirmou ter incorporado uma "nova verificação" em seu processo de controle de qualidade para prevenir a recorrência do problema.

Como corrigir a “tela azul da morte” do Windows causada pelo CrowdStrike Falcon? 

A CrowdStrike já disponibilizou uma correção para o bug na solução Falcon, que deve ser baixada automaticamente. 

No entanto, em muitos casos, os computadores não conseguem se conectar à internet para obter o arquivo devido aos erros de tela azul. 

A seguir apresentamos dois métodos manuais que você pode ser utilizar para remediar o problema.

Método de recuperação principal

  1. Deixe o sistema iniciar e travar três vezes para exibir um menu de recuperação.
  2. Clique em Solução de Problemas.
  3. Clique em Opções Avançadas.
  4. Clique em Configurações de inicialização.
  5. Clique em Reiniciar.
  6. Após a reinicialização, o computador exibirá um menu. Neste menu, clique na opção Habilitar Modo de Segurança.
  7. Ao iniciar o Windows, acesse a pasta localizada em C:\Windows\System32\drivers\CrowdStrike
  8. Busque o arquivo C-00000291*.sys e o exclua.
  9. Reinicie o computador.

Método de recuperação alternativo usando Prompt de Comando

Se o método descrito acima não funcionar, você também pode tentar excluir o arquivo usando o Prompt de Comando.

  1. Deixe o sistema iniciar e travar três vezes para exibir um menu de recuperação.
  2. Clique em Solução de Problemas.
  3. Clique em Opções Avançadas.
  4. Clique em Prompt de Comando.
  5. Se o seu sistema estiver protegido com BitLocker, você precisará fornecer a Chave de Recuperação do BitLocker.
    • Caso o BitLocker seja gerenciado pelo Intune, você pode encontrar a chave em https://myaccount.microsoft.com, na seção "dispositivos". Verifique se o Nome do Host do dispositivo e o ID da Chave correspondem.
    • Se não for o caso, entre em contato com o administrador de TI local para obter a sua Chave de Recuperação do BitLocker.
  6. Na janela do prompt de comando, insira os seguintes comandos, pressionando Enter após cada um:
    • Observação: O prompt de comando começa na unidade X:. Certifique-se de mudar para a unidade C:\ digitando exatamente os comandos abaixo. Caso a unidade C: não esteja visível, você pode precisar ajustar as configurações da BIOS.
    • c:
    • cd windows
    • cd system32
    • cd drivers
    • cd crowdstrike
    • del C-00000291*
    • exit
  7. Selecione Continuar para o Windows.

Caso necessite de mais informações sobre os métodos manuais de remediação, consulte o update da CrowdStrike.

Quais as consequências do apagão cibernético da CrowdStrike?

O apagão cibernético da CrowdStrike teve repercussões graves ao redor do mundo. Nesta seção, detalharemos as principais consequências negativas desse incidente.

Paralisação de serviços e infraestruturas críticas

O apagão gerou um impacto global significativo, paralisando serviços e infraestruturas críticas. 

A vasta rede de clientes da CrowdStrike, que inclui grandes empresas e organizações essenciais, amplificou os efeitos da falha.

Segundo a Microsoft, cerca de 8,5 milhões de dispositivos Windows em todo o mundo foram afetados. 

Essa interrupção em massa comprometeu as operações de diversos setores estratégicos, como transportes, saúde e finanças.

Companhias aéreas como Delta, United e British Airways enfrentaram graves disrupções, resultando em milhares de voos cancelados e atrasados. 

Hospitais também foram duramente atingidos, com a interrupção de sistemas críticos levando ao adiamento de cirurgias, consultas e outros procedimentos.

No setor financeiro, a interrupção afetou a negociação em mercados importantes, incluindo a Bolsa de Valores de Londres.

Prejuízos financeiros milionários

A extensão dos danos financeiros gerados pela falha no software da CrowdStrike ainda está sendo avaliada. 

Sem considerar a Microsoft, as empresas da Fortune 500 nos EUA devem enfrentar perdas estimadas em 5,4 bilhões de dólares devido ao bug.

Entre as mais afetadas está a Delta Air Lines, que pode sofrer um impacto financeiro de aproximadamente 500 milhões de dólares em seus lucros neste trimestre.

Além da queda no lucro operacional e na valorização das ações, a Delta também pode ser multada pelo Departamento de Transportes dos EUA devido ao elevado número de cancelamentos de voos.

Os prejuízos dessas grandes corporações também devem repercutir no setor de seguros. 

Segundo estimativas da empresa de análise de risco cibernético CyberCube, o apagão pode custar ao mercado de seguros cibernéticos entre 400 milhões e 1,5 bilhão de dólares

Isso representaria um aumento de 3% a 10% nos prêmios globais de seguros cibernéticos, que atualmente totalizam 15 bilhões de dólares.

Riscos à cibersegurança das empresas clientes

A falha no update do CrowdStrike Falcon expôs as empresas que utilizam a solução de segurança a novos riscos cibernéticos.

O setor de inteligência da CrowdStrike tem monitorado atividades maliciosas que utilizam o incidente como tema de isca para ciberataques, especialmente de engenharia social.

Esses ataques exploram a situação vulnerável das empresas afetadas pela falha no software, adotando várias táticas para enganar usuários e obter acesso a informações sensíveis. 

Entre as ações maliciosas detectadas estão:

  • E-mails de phishing: cibercriminosos estão enviando e-mails fraudulentos, fingindo ser suporte técnico da CrowdStrike. Esses e-mails, aparentemente legítimos, solicitam informações pessoais ou instruem os usuários a realizar ações que comprometem a segurança do sistema;
  • Ligações telefônicas falsas: atores mal-intencionados estão fazendo chamadas telefônicas se passando por funcionários da CrowdStrike. Durante essas ligações, eles tentam obter informações confidenciais ou instruir as vítimas a realizar procedimentos que podem prejudicar a integridade do sistema;
  • Pesquisadores independentes falsos: alguns cibercriminosos se apresentam como pesquisadores independentes, alegando ter evidências de que o problema técnico é resultado de um ciberataque. Eles oferecem insights para remediação, mas na verdade, buscam explorar ainda mais a vulnerabilidade das empresas;
  • Venda de scripts falsos: Há também a venda de scripts que supostamente automatizam a recuperação do problema de atualização do software. No entanto, esses scripts são fraudulentos e podem conter malware ou outras ameaças que comprometem ainda mais a segurança das empresas.

Aviso Importante: O suporte da CrowdStrike nunca entra em contato de forma proativa sem que a empresa usuária tenha feito um contato prévio.

Conclusão

O apagão cibernético causado pelo software da CrowdStrike evidenciou, de forma dramática, a vulnerabilidade das infraestruturas digitais das organizações diante de falhas na cadeia de suprimentos, mesmo aquelas que não têm origem maliciosa.

O incidente destacou a importância crítica de uma vigilância contínua e de uma gestão eficaz de riscos para mitigar o impacto de tais falhas.

Apesar da gravidade do evento, a Microsoft não sinalizou que restringiria o acesso da CrowdStrike ao Windows, o que sugere confiança na resolução do problema.

No entanto, o episódio gerou um terreno fértil para agentes de ameaças, que estão explorando o incidente em campanhas de phishing e engenharia social.

As iscas, que podem incluir ofertas de suporte técnico ou atualizações falsas, representam uma ameaça adicional, com o potencial para exfiltração de dados, implantação de ransomware e extorsão.

O apagão reforça a necessidade de resiliência cibernética, destacando a importância de estabelecer planos de resposta a incidentes bem estruturados e coordenados.

Esses planos são fundamentais para mitigar danos e assegurar a continuidade das operações, tanto em situações de incidentes maliciosos quanto em falhas não intencionais como a do caso CrowdStrike.

Tem dúvidas sobre como fortalecer a segurança e a resiliência cibernéticas da sua empresa?

Entre em contato conosco e entenda como a Diazero Security pode ajudar a proteger sua organização contra incidentes digitais.

Ir para a lista

CONTEÚDOS RELACIONADOS

Acessar
19 de Janeiro 2024 Segurança Segurança

Como o Google Cloud Platform garante a segurança na nuvem?

Saiba como o Google Cloud Platform oferece recursos para desenvolver e gerenciar aplicativos na nuvem com flexibilidade e segurança.

Acessar
22 de Dezembro 2023 Segurança Segurança

Backups de rotina: uma estratégia essencial para a segurança empresarial

Descubra como backups de rotina protegem negócios contra perdas de dados, garantindo continuidade e confiança no mercado.