Los ciberdelincuentes oportunistas son la amenaza inmediata más apremiante que surge de la interrupción del servicio de Microsoft el 19 de julio, que provocó que millones de máquinas en todo el mundo fallaran como resultado de un error cometido por la empresa de seguridad cibernética CrowdStrike durante una actualización, advierten las agencias de seguridad.
Como se ha visto repetidamente a lo largo de los años, los actores maliciosos se han apresurado a aprovechar eventos importantes: en la historia reciente, las elecciones generales del Reino Unido de 2024; la crisis del costo de vida experimentada en los últimos años; y, en 2020 y 2021, la pandemia de Covid-19, fueron rápidamente explotados de esta manera.
El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido dijo que, aunque estuvo de acuerdo en que las interrupciones no fueron el resultado de un incidente de seguridad o actividad maliciosa, las organizaciones aún deberían estar en alerta máxima.
“Ya se ha observado un aumento del phishing que hace referencia a esta interrupción, ya que actores maliciosos oportunistas buscan aprovechar la situación. Esto puede estar dirigido tanto a organizaciones como a individuos”, dijo el NCSC en un comunicado.
“Las organizaciones deben revisar las pautas del NCSC para asegurarse de que se implementen mitigaciones de phishing de múltiples capas, mientras que las personas deben estar alerta a los correos electrónicos o mensajes sospechosos sobre este tema y saber qué buscar”.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) se hizo eco de las advertencias del NCSC: “Los actores de amenazas cibernéticas continúan aprovechando la interrupción para realizar actividades maliciosas, incluidos intentos de phishing. CISA continúa trabajando estrechamente con CrowdStrike y otros socios gubernamentales y del sector privado para monitorear activamente cualquier actividad maliciosa emergente”.
Y el Centro Australiano de Seguridad Cibernética (ACSC) dijo que estaba viendo informes de actividad sospechosa. “[We] “Entiendo que se están publicando una serie de sitios web maliciosos y códigos no oficiales que pretenden ayudar a las entidades a recuperarse de las interrupciones generalizadas causadas por el incidente técnico de CrowdStrike”, dijo en un comunicado.
Los investigadores de ReliaQuest dijeron que los actores de amenazas con motivación financiera ciertamente aprovecharían la confusión y la preocupación para lanzar ataques dirigidos a individuos y organizaciones en los próximos días y semanas.
“Podrían… realizar campañas de phishing para engañar a los usuarios para que descarguen malware y comprometan sus credenciales”, escribió el equipo en una publicación de blog de asesoramiento.
“Además, pueden ejecutar ataques de ingeniería social, haciéndose pasar por personal de TI para engañar y manipular a las víctimas… Hay muchas otras formas en que los atacantes pueden aprovechar la situación. Las organizaciones deben reconocer esta mayor amenaza y adherirse estrictamente a los consejos oficiales de remediación para protegerse contra estos ataques oportunistas”.
El equipo de ReliaQuest también informó que al menos un individuo intentó reclamar la responsabilidad del incidente en un foro de la web oscura, pero después de no poder proporcionar pruebas para fundamentar sus afirmaciones a los moderadores del foro, fue expulsado y baneado.
CrowdStrike confirma que circulan actualizaciones falsas
CrowdStrike dijo que había identificado algunos casos de código malicioso en circulación, en particular un archivo ZIP malicioso con el nombre crowdstrike-hotfix.zip.
Según su equipo de CrowdStrike Intelligence, este archivo va acompañado de instrucciones en español que implican que su contenido es una utilidad que automatizará la recuperación del problema de actualización de contenido.
De hecho, el archivo contiene una carga útil HijackLoader que, cuando se ejecuta, carga el troyano de acceso remoto Remcos (RAT). El archivo fue subido por primera vez a un servicio de escaneo de malware en línea por parte de un remitente con sede en México el 19 de julio, aparentemente mientras las interrupciones continuaban.
La firma agregó que también estaba observando un aumento en los dominios falsos de “errores tipográficos”, que buscan detectar a las personas que cometen errores ortográficos al escribir CrowdStrike en sus navegadores web.
“CrowdStrike Intelligence recomienda que las organizaciones se aseguren de comunicarse con los representantes de CrowdStrike a través de canales oficiales y cumplan con la orientación técnica que los equipos de soporte de CrowdStrike han brindado”, dijo CrowdStrike Intelligence.