¡Alerta de estafas! Los ciberdelincuentes aprovechan la interrupción de CrowdStrike con actualizaciones de soluciones que contienen malware
A raíz de la interrupción de CrowdStrike de la semana pasada , los ciberdelincuentes aprovecharon la oportunidad para lanzar una ola de ataques de ingeniería social dirigidos a los clientes del proveedor de seguridad . A este evento, que interrumpió los viajes aéreos, cerró tiendas y afectó instalaciones médicas, le siguió un aumento en las actividades de phishing reportadas por agencias nacionales de ciberseguridad en EE. UU., Reino Unido, Canadá y Australia.
Según Luigi Lenguito, director ejecutivo de BforeAI, estos ataques posteriores a CrowdStrike son notablemente más prolíficos y dirigidos en comparación con los ataques típicos que siguen a eventos noticiosos importantes. "En el ataque de la semana pasada a Trump, vimos un aumento en el primer día de 200 amenazas cibernéticas relacionadas, que luego se redujeron a 40-50 por día", señaló Lenguito. "Aquí estamos viendo un pico que es tres veces mayor. Estamos viendo alrededor de 150 a 300 ataques por día, que no es el volumen normal para los ataques relacionados con noticias".
Perfil de una estafa con temática de CrowdStrike
La estrategia detrás de estas estafas es clara: como los usuarios de muchas grandes corporaciones no pueden conectarse a los servicios de CrowdStrike, los ciberdelincuentes aprovechan esta vulnerabilidad. La naturaleza dirigida de estos ataques los diferencia de otras estafas temáticas, como las relacionadas con eventos políticos. Las víctimas suelen tener más conocimientos técnicos y conocimientos sobre ciberseguridad.
Los atacantes se han hecho pasar por CrowdStrike, soporte técnico relacionado o incluso empresas competidoras que ofrecen sus propias "soluciones". Han surgido dominios de phishing y typosquatting como crowdstrikefix[.]com, crowdstrikeupdate[.]com y www.microsoftcrowdstrike[.]com, con más de 2.000 de estos dominios identificados.
Estos dominios se utilizan para distribuir malware, incluido un archivo ZIP que se hace pasar por una revisión que contiene HijackLoader (también conocido como IDAT Loader), que posteriormente carga RemCos RAT. Este archivo se informó por primera vez desde México e incluía nombres de archivo en español, lo que sugiere un enfoque en los clientes de CrowdStrike en América Latina.
En otro caso, los atacantes enviaron un correo electrónico de phishing con un archivo PDF adjunto mal diseñado. El PDF contenía un enlace para descargar un archivo ZIP con un ejecutable. Cuando se inició, el ejecutable pidió permiso para instalar una actualización, que resultó ser un limpiador. El grupo hacktivista pro-Hamás "Handala" se atribuyó la responsabilidad y afirmó que como resultado de ello "docenas" de organizaciones israelíes habían perdido varios terabytes de datos.
Protegerse contra estas amenazas
Las organizaciones pueden protegerse implementando listas de bloqueo, utilizando herramientas de DNS protectoras y asegurándose de buscar soporte únicamente en el sitio web oficial y los canales de atención al cliente de CrowdStrike . Lenguito sugiere que el aumento de los ataques aún se encuentra en sus primeras etapas, pero es probable que disminuya en las próximas semanas. "Generalmente estas campañas duran de dos a tres semanas", observó.
Al mantenerse alerta y confiar en fuentes verificadas para obtener soporte técnico, las organizaciones pueden mitigar los riesgos que plantean estos ataques de phishing sofisticados y dirigidos.