Estafa de CrowdStrike

CrowdStrike, una destacada empresa de ciberseguridad, provocó inadvertidamente interrupciones generalizadas del sistema con una actualización errónea de Windows el 19 de julio de 2024. Este percance técnico no solo interrumpió las operaciones sino que también abrió una ventana de oportunidad para que los ciberdelincuentes explotaran los sistemas vulnerables para realizar actividades amenazantes.

Distribución de malware a través de actualizaciones falsas

Uno de los principales métodos que emplearon los ciberdelincuentes fue distribuir malware disfrazado de actualizaciones legítimas de CrowdStrike. Estas actualizaciones fraudulentas incluyeron:

1. Remcos RAT dirigido a clientes del banco BBVA : una campaña dirigida a los clientes del banco BBVA utilizó una actualización falsa de CrowdStrike Hotfix. Disfrazada de mantenimiento de software esencial, esta actualización instaló el troyano de acceso remoto Remcos (RAT) . Este malware permite el acceso remoto no autorizado a computadoras infectadas, lo que facilita el espionaje, el robo de datos y un mayor compromiso de sistemas confidenciales.
2. Eliminador de datos a través de correos electrónicos de phishing : en otro caso, los ciberdelincuentes distribuyeron correos electrónicos haciéndose pasar por actualizaciones de CrowdStrike. Estos correos electrónicos indicaban a los destinatarios que descargaran un archivo ZIP que supuestamente contenía un parche de seguridad necesario. Sin embargo, el archivo en realidad albergaba un malware de limpieza de datos. Los limpiadores de datos están diseñados para borrar o corromper irreversiblemente los datos de los sistemas afectados, lo que provoca graves implicaciones operativas y de pérdida de datos para las víctimas.

Esquemas que explotan el incidente

Aprovechando el caos provocado por el error de actualización de CrowdStrike, los estafadores lanzaron varios esquemas fraudulentos:

• Fichas de criptomonedas falsas: los estafadores promocionaban fichas ficticias como $CROWDSTRIKE o $CROWDSTROKE, incitando a personas desprevenidas a divulgar información personal o transferir criptomonedas con pretextos.
• Ofertas de compensación: al hacerse pasar por entidades legítimas, los estafadores ofrecen compensación a los usuarios afectados. Estas ofertas tenían como objetivo engañar a las víctimas para que revelaran información confidencial, pagaran por servicios inexistentes u otorgaran acceso remoto a sus computadoras. Estas acciones podrían provocar infecciones de malware adicionales, pérdidas financieras y filtraciones de datos.

Canales y técnicas de distribución

Los estafadores utilizaron diversos canales y técnicas engañosas para propagar sus planes:

• Correos electrónicos de phishing : se distribuyeron ampliamente correos electrónicos falsos de actualización de CrowdStrike, explotando la confianza en actualizaciones de software legítimas para engañar a los destinatarios para que descargaran malware.

• Sitios web falsos e ingeniería social : los estafadores crearon sitios web falsificados que se asemejaban a servicios o portales de intranet legítimos (por ejemplo, Intranet de BBVA), engañando a los usuarios para que instalaran software malicioso.

• Cuentas de redes sociales comprometidas : También se difundieron actualizaciones fraudulentas a través de cuentas comprometidas en plataformas como X (anteriormente Twitter), aprovechando una amplia audiencia para difundir enlaces y contenido maliciosos.

El incidente relacionado con la actualización defectuosa de CrowdStrike subrayó la necesidad crítica de medidas sólidas de ciberseguridad y vigilancia de los usuarios. Los ciberdelincuentes rápidamente aprovecharon la interrupción causada por el error de actualización, implementando malware sofisticado y orquestando esquemas fraudulentos. Tanto los usuarios como las organizaciones deben permanecer atentos a los intentos de phishing, los correos electrónicos sospechosos y las tácticas engañosas en línea para reducir el riesgo de ser víctimas de este tipo de actividades inseguras. Los esfuerzos de entidades legítimas, como el lanzamiento de una solución genuina por parte de Microsoft, son fundamentales para mitigar las consecuencias de tales incidentes y restaurar la confianza en las medidas de seguridad digital.