最近发现了一个有趣的 CrowdStrike 内幕交易案例。网络安全领域的知名企业 CrowdStrike 在一次 全球重大 IT 中断。此次中断影响了众多客户的服务,包括医疗保健和航空运输等关键行业的客户
CrowdStrike 内幕交易事件到底是怎么回事?
根据美国证券交易委员会 (SEC) 备案2024 年 7 月 15 日星期一,CrowdStrike 首席安全官 Shawn Henry 执行了 4,000 股股票的出售,价值约为 148.5 万美元。这笔交易发生在 7 月 19 日 IT 中断前几天,导致 CRWD 股价大幅下跌。
亨利的出售是根据他于 2023 年 12 月 20 日制定的预先安排的 10b5-1 交易计划进行的。此类计划旨在通过制定预先确定的股票出售时间表来保护内部人士免受利用非公开信息进行交易的指控。尽管进行了如此大规模的出售,但亨利仍然持有 CrowdStrike 的大量股份,交易后持有 183,091 股。
FYI 交易是使用 2023 年 12 月 20 日制定的预先安排的 10b5-1 计划进行的。
他卖出了 4,000 股,目前仍持有 183,091 股 pic.twitter.com/cvRKqhDNLO
— Hedge Vision(@HedgeVision) 2024 年 7 月 20 日
虽然 10b5-1 计划旨在防止内幕交易,但 Henry 出售股票的时间与随后的 IT 中断时间如此接近,引起了监管机构和股东的担忧。这引发了人们的疑问:CrowdStrike 内幕交易活动发生的时间是否表明该公司已经预知了即将发生的问题。
微软推出恢复工具
微软开发了一种新工具来帮助 IT 管理员恢复受到 CrowdStrike 缺陷更新影响的 Windows 机器,该更新导致上周五 850 万台设备崩溃。 此工具 允许创建可启动的 USB 驱动器以加快受影响系统的恢复过程。
尽管 CrowdStrike 已发布补丁来解决其软件导致的蓝屏死机错误,但许多机器仍无法自动接收此更新。一些管理员报告称,通过反复重启 PC 来触发更新,成功了,而其他管理员则必须手动进入安全模式来删除有问题的 CrowdStrike 文件。
微软的解决方案简化了恢复工作,使 IT 管理员能够从 USB 启动到 Windows PE 环境,直接访问机器的磁盘,并自动删除有问题的文件。这种方法无需进入安全模式或在设备上拥有管理权限,因为该工具独立于本地 Windows 安装运行。对于受 BitLocker 加密保护的磁盘,该工具将在继续操作之前提示输入恢复密钥。
微软已经概述了 Azure 上 Windows 虚拟机的恢复步骤,并发布了适用于其平台上所有 Windows 10 和 Windows 11 设备的全面恢复指南 支持网站。CrowdStrike 的内幕交易活动是否与软件更新问题有关?
CrowdStrike 中断导致您的 Windows PC 损坏
警惕利用 IT 中断的诈骗分子
在最近发生大规模 IT 中断之后,公司现在面临着来自渴望利用这种情况的诈骗者和黑客的额外威胁。
此次事件的起因是德克萨斯州网络安全公司 CrowdStrike 发布了 Windows 主机更新中的错误。从周四晚到周五,这一错误导致旅游、银行、零售和医疗保健等关键行业出现大面积中断。
CrowdStrike 首席执行官乔治·库尔茨 (George Kurtz) 在周五的一篇博客文章中警告称,“对手和不良行为者将试图利用此类事件。”
他建议大家保持谨慎并确保与 CrowdStrike 官方代表保持沟通,并指出他们的博客和技术支持渠道是更新的主要来源。
第二天,CrowdStrike 披露,恶意攻击者利用该事件分发了一个名为 crowdstrike-hotfix.zip 的有害 ZIP 压缩包。该压缩包包含 HijackLoader 负载,执行后会安装 Remcos,从而允许攻击者控制受感染的计算机。
在周日的后续博客文章中,该公司重申了与 CrowdStrike 官方代表核实通信的重要性。
美国网络安全和基础设施安全局 (CISA) 周日也发表评论,强调网络犯罪分子正在利用此次中断进行恶意活动,包括网络钓鱼。CISA 正在积极与 CrowdStrike 以及其他私人和政府实体合作,以监控新出现的威胁。
Falcon Sensor:对 Windows 和 Linux 系统造成广泛影响
CrowdStrike 的 Falcon Sensor 软件因上周造成 Windows 计算机大规模中断而臭名昭著,也导致 Linux 系统崩溃。
6 月份,红帽 警觉 其用户发现了一个问题,被描述为“通过 falcon-sensor 进程启动 5.14.0-427.13.1.el9_4.x86_64 后观察到内核崩溃”,这影响了部分 Red Hat Enterprise Linux 9.4 用户在内核版本 5.14.0-427.13.1.el9_4.x86_64 上启动时出现的问题。
另一个问题, 标题 “系统在 cshook_network_ops_inet6_sockraw_release+0x171a9 处崩溃”,敦促用户寻求帮助解决与 CrowdStrike Falcon Sensor/Agent 安全套件中的 falcon_lsm_serviceable 内核模块相关的潜在问题。Red Hat 建议禁用 CrowdStrike 软件以暂时稳定系统,同时调查问题。据悉,此问题也出现在版本 6 和 7 中。
Linux 内核崩溃与 Windows 的蓝屏死机类似,由于这些事件发生在 Windows 大规模宕机之前,这表明 CrowdStrike 可能存在更广泛的问题。
CrowdStrike 已被要求对 Red Hat 发现的问题发表评论,如果收到新信息,将提供更新。
随着最近 CrowdStrike 内幕交易活动的发现,是否还有更多关于导致此次中断及其更广泛影响的决策的信息有待揭露?我们将及时向您通报有关 CrowdStrike 中断的最新事件。
特色图片来源: 查尔斯·福莱恩/Unsplash