A medida que continúan los esfuerzos globales para recuperarse y aprender del incidente de CrowdStrike del viernes 19 de julio, los ciberdelincuentes y estafadores, como era de esperar, acechan al margen del discurso, eliminando a víctimas desprevenidas, apoyados por más de dominios maliciosos recientemente creados asociados con la marca CrowdStrike.
Esto es según el especialista en seguridad web Akamai, que dijo que sus investigadores han identificado más de 180 dominios de este tipo (el número real probablemente sea mayor), incluido uno que se ubicó entre los 200.000 sitios principales por palabras clave asociadas.
Los principales sectores a los que se dirigen estos sitios web parecen ser las organizaciones benéficas y sin fines de lucro, y los proveedores de educación, los cuales son altamente atacados por actores maliciosos normalmente, ya que es comparativamente menos probable que hayan implementado, o que en muchos casos no puedan permitírselo. , formación adecuada en ciberseguridad o medidas defensivas.
En un artículo en el sitio web de la empresa, Tricia Howard de Akamai dijo que, como suele ocurrir con los eventos de interés periodístico, los actores de amenazas intentaron inmediatamente explotar la situación y el alcance y el impacto del incidente CrowdStrike, que provocó que millones de dispositivos Windows se volvieran azules. y llevó a los usuarios desconcertados (muchos de ellos sin experiencia en TI o seguridad) a buscar respuestas dondequiera que pudieran encontrarlas, poniéndolos en gran riesgo de sufrir ingeniería social.
Los equipos de Akamai analizaron una gran cantidad de datos extraídos de su red de borde global para identificar los principales dominios maliciosos utilizados para las estafas de incidentes CrowdStrike y otros exploits, incluida la distribución de malware de limpieza y robo de información, y troyanos de acceso remoto (RAT).
Todos los dominios más utilizados aprovecharon la marca CrowdStrike hasta cierto punto, y muchos pretendían ofrecer información o soluciones al incidente. Estos incluían dominios como crowdstrike-bsod.com, crowdstrikefix.com, crowdstrike-helpdesk.com, microsoftcrowdstrike.com y crowdstrikeupdate.com.
Un dominio observado incluso parecía explotar la familia de sitios web WhatIs, propiedad y operado por TechTarget, empresa matriz de Computer Weekly, utilizando whatiscrowdstrike.com.
Según Howard, la mayoría de los dominios descubiertos por Akamai llevan el dominio de nivel superior (TLD) .com, lo que les otorga una autoridad sutil, y utilizan palabras clave comunes como servicio de asistencia técnica o actualización que probablemente sean utilizadas con frecuencia por personas que buscan información. De esta manera, sus patrocinadores pueden aparentar legitimidad pretendiendo ofrecer, por ejemplo, soporte técnico o legal.
“Si se ve afectado por la interrupción y busca información, le recomendamos que consulte fuentes creíbles como CrowdStrike o Microsoft. Aunque otros medios parezcan tener información más actualizada, puede que no sea precisa o, peor aún, que el sitio tenga un propósito maligno”, escribió Howard.
“Es probable que veamos más intentos de phishing asociados con este problema más allá del momento en que se solucionen todos los dispositivos. Un simple desplazamiento por las redes sociales puede proporcionarle a un atacante una idea de qué marcas generan las emociones más intensas y cuáles están listas para hacerse pasar por ellas con fines malévolos.
“Este es el trabajo de un atacante y es importante recordarlo. Las operaciones de campaña maliciosas funcionan tal como lo hacemos en las corporaciones legítimas: las víctimas son sus ‘clientes’, y las variadas tácticas presentadas en esta publicación muestran cuán ‘conectados’ están con sus clientes. Saben cómo diversificar efectivamente su cartera para asegurarse de terminar con dinero en el banco”, dijo.
Infraestructura resistente y convincente
Para reforzar este punto y demostrar lo difícil que puede ser para las personas seleccionar sitios web poco fiables en medio del ruido de una búsqueda web estándar, Howard explicó que este tipo de campañas de phishing a menudo demuestran una infraestructura notablemente resistente, orquestada por “profesionales” con habilidades que en algunos casos rivalizan con los que se encuentran en una empresa.
Muchos de los sitios fraudulentos también incluirán medidas bastante estándar que las personas estarán acostumbradas a ver en dominios seguros, como la validación SSL. Otros pueden incluso redirigir en algún momento al sitio web real de CrowdStrike.
Las campañas más sofisticadas incluso tendrán incorporados mecanismos de conmutación por error y ofuscación, y sus patrocinadores pueden cambiar rápidamente su apariencia.
Además, el equipo de Akamai cree que al menos uno de los dominios observados explotando CrowdStrike parece ser parte de una gran red de phishing. Este sitio, rastreado como crowdstrikeclaim.com, destacó para los investigadores por su explotación no sólo de CrowdStrike, sino de un auténtico bufete de abogados de Nueva York que ha estado involucrado en demandas colectivas de la vida real.
El dominio contenía una identificación de Facebook incrustada que se sabía que era maliciosa, que en un momento se vinculaba con covid19-business-help.qualified-case.com, un sitio malicioso que se aprovechaba de los programas de ayuda del gobierno de EE. UU. durante la pandemia. Ese sitio web, a su vez, contiene otro ID de Facebook integrado que enlaza con hasta otros 40 sitios maliciosos.
Mitigar el phishing
Para las personas comunes y corrientes que puedan encontrarse en una página vinculada a CrowdStrike, el consejo de Akamai es comprobar si hay una serie de indicadores de malas intenciones. Esto puede incluir buscar el certificado y el emisor del dominio al acceder a través de HTTPS; evitar dominios que soliciten información confidencial, como datos de tarjetas de crédito; e ignore y elimine cualquier correo electrónico que afirme ofrecer ayuda. Sin embargo, la solución más eficaz sigue siendo seguir únicamente los consejos y pasos correctivos del propio CrowdStrike.
Los profesionales de seguridad y los administradores de TI también pueden tomar medidas adicionales, incluido bloquear indicadores de compromiso (IoC) conocidos y relacionados (la lista de Akamai ya está disponible en GitHub) y realizar un análisis de brechas de movimiento lateral o emulación de adversario.
Howard señaló que los ciberdelincuentes con motivación financiera buscarán cualquier oportunidad para lanzar ransomware, y aunque el incidente de CrowdStrike no está relacionado con una vulnerabilidad de día cero, señaló que todavía hay formas potenciales de entrada para un atacante que ahora sabe qué tecnología. es decir, CrowdStrike, que su víctima potencial está utilizando en su pila cibernética.
“Esto podría volverse relevante en caso de que se descubra un futuro CVE dentro del producto Falcon. Los atacantes se están volviendo cada vez más sofisticados, y cada pieza adicional del rompecabezas tecnológico que tienen hace que ese rompecabezas sea más fácil de resolver”, advirtió.