CrowdStrike causa, soluzione ed impatto dell’incidente informatico

Il 19 luglio 2024, un aggiornamento difettoso del software di sicurezza CrowdStrike Falcon ha causato un’interruzione IT su larga scala, colpendo numerosi sistemi Windows in tutto il mondo. Questo incidente ha provocato disservizi significativi in vari settori, tra cui aeroporti, ospedali, emittenti televisive e servizi di emergenza.

Causa del Problema

L’aggiornamento problematico di CrowdStrike ha causato un crash dei sistemi Windows, con conseguenti schermi blu della morte (BSoD) e cicli di avvio infiniti. La società ha identificato un file di canale come causa principale, che conteneva dati per il sensore Falcon.

CrowdStrike ha rapidamente riconosciuto il problema e ha rilasciato una guida tecnica per risolverlo. Gli utenti sono stati istruiti a:

1. Avviare Windows in modalità provvisoria o nell’ambiente di ripristino di Windows.
2. Navigare nella directory C:\Windows\System32\drivers\CrowdStrike.
3. Eliminare il file corrispondente a “C-00000291*.sys”.
4. Riavviare il sistema normalmente.

Impatto sui servizi globali

Aeroporti

Diversi aeroporti in tutto il mondo sono stati colpiti dall’interruzione. Ad esempio:

• Schiphol Airport: Ha dovuto bloccare diversi voli operati da KLM e Transavia.
• Melbourne Airport: Problemi con le procedure di check-in, specialmente per i passeggeri delle compagnie Jetstar e Scoot.
• Zurich Airport: Ritardi e cancellazioni di voli, con manuale check-in per alcuni passeggeri.

Ospedali

Ospedali in vari paesi hanno subito interruzioni nei loro sistemi IT, tra cui:

• Ospedali nei Paesi Bassi: Scheper a Emmen, Slingeland Hospital ad Achterhoek e altri.
• Spagna: L’Ospedale Universitario di Terrassa e l’Istituto Catalano di Oncologia hanno avuto problemi, ma stanno lentamente tornando alla normalità.
• Stati Uniti: Il Bellevue Hospital e il NYU Langone Hospital di New York sono stati colpiti.

Emittenti televisive

Diverse stazioni televisive, tra cui Sky News e ABC, hanno subito interruzioni nelle loro operazioni a causa dei crash dei computer.

Servizi di emergenza

I servizi di emergenza in alcune regioni degli Stati Uniti e del Canada sono stati particolarmente colpiti, con alcuni 911 dispatcher costretti a lavorare su carta fino alla risoluzione del problema.

Reazioni e misure adottate

CrowdStrike ha confermato che il problema non era dovuto a un attacco informatico, ma a un difetto in un singolo aggiornamento di contenuto per i sistemi Windows. L’azienda ha attivato una squadra per risolvere il problema e ha consigliato ai clienti di utilizzare il portale di supporto per gli aggiornamenti più recenti.

CISA (Cybersecurity and Infrastructure Security Agency) ha avvertito delle possibili attività di phishing sfruttando l’incidente e ha esortato le organizzazioni a rimanere vigili, seguendo solo le istruzioni provenienti da fonti legittime.

Conseguenze Economiche

L’incidente ha avuto ripercussioni anche sui mercati finanziari, con le azioni di CrowdStrike che sono scese del 20% e quelle di Microsoft del 2,5% nelle contrattazioni pre-mercato. Questo evento ha messo in evidenza la fragilità dell’infrastruttura IT globale e l’importanza di un’efficace gestione delle crisi informatiche.

Cos’è Crowdstrike Falcon?

CrowdStrike Falcon è una piattaforma di sicurezza informatica basata su cloud progettata per proteggere endpoint (dispositivi finali come computer, laptop e server) da una vasta gamma di minacce cibernetiche. Sviluppata da CrowdStrike, Falcon utilizza tecnologie avanzate di rilevamento e risposta degli endpoint (EDR), machine learning e analisi comportamentale per identificare e mitigare minacce in tempo reale. Ecco una panoramica delle principali caratteristiche e funzionalità di CrowdStrike Falcon:

Principali caratteristiche di CrowdStrike Falcon

1. Rilevamento e Risposta degli Endpoint (EDR):
   • Falcon monitora continuamente le attività degli endpoint per rilevare comportamenti anomali e potenziali minacce. Questo include il tracciamento di eventi, l’analisi dei file e il monitoraggio delle attività di rete.
2. Protezione Next-Gen Antivirus (NGAV):
   • Utilizzando machine learning e intelligenza artificiale, Falcon offre una protezione antivirus avanzata che va oltre i metodi tradizionali di rilevamento basati su firme, identificando e bloccando le minacce basate su comportamenti sospetti.
3. Monitoraggio in Tempo Reale:
   • La piattaforma fornisce visibilità in tempo reale su tutti gli endpoint connessi, permettendo agli amministratori di sicurezza di rilevare e rispondere rapidamente a incidenti di sicurezza.
4. Analisi Forense:
   • Falcon raccoglie e conserva dati dettagliati sulle attività degli endpoint, facilitando l’analisi forense post-incidente per comprendere l’origine e l’impatto delle minacce.
5. Gestione delle Vulnerabilità:
   • La piattaforma aiuta a identificare e gestire le vulnerabilità presenti sugli endpoint, fornendo raccomandazioni per la mitigazione dei rischi.
6. Integrazione con Altri Strumenti di Sicurezza:
   • CrowdStrike Falcon può integrarsi con altri strumenti di sicurezza e piattaforme SIEM (Security Information and Event Management), migliorando l’efficacia della sicurezza complessiva dell’organizzazione.

Componenti Principali

• Falcon Sensor:
  • Un piccolo agente leggero installato sugli endpoint che raccoglie dati e li invia al cloud per l’analisi.
• Falcon Cloud:
  • L’infrastruttura cloud di CrowdStrike dove avviene l’analisi dei dati, il rilevamento delle minacce e la gestione degli incidenti.
• Falcon X:
  • Un modulo di intelligence sulle minacce che fornisce analisi dettagliate e contestuali sulle minacce rilevate, aiutando a comprendere meglio gli attacchi e a prevenire future intrusioni.