Contenido Exclusivo

Dominios maliciosos se aprovechan de la interrupción de CrowdStrike para estafar

Después del incidente de CrowdStrike iniciado el 19 de julio de 2024, según la información oficial y los análisis de la unidad de investigación de SILIKN, se determinó que no fue un ciberataque, sino una interrupción significativa provocada por un problema en una actualización de su producto EDR, Falcon Sensor. Esta actualización afectó a dispositivos que utilizan el sistema operativo Windows de Microsoft, siendo la causa principal del fallo global. CrowdStrike tiene aproximadamente 24,000 clientes, incluidas algunas de las empresas más grandes del mundo.

A pesar de que CrowdStrike ya ha informado que el problema ha sido identificado y aislado, y se ha implementado una solución, los dispositivos afectados por el “pantallazo azul” deberán recibir una actualización adicional para estabilizarse. El pantallazo azul es un problema, conocido como BSOD (Blue Screen Of Death), que detiene por completo el funcionamiento del sistema y requiere un reinicio.

Cada cliente de CrowdStrike es una gran corporación, lo que dificulta estimar la cantidad de computadoras individuales afectadas por el incidente del 19 de julio. Es probable que la solución deba aplicarse a cada dispositivo afectado de manera individual, lo que representa un gran desafío para los departamentos de tecnología en todo el mundo.

Al respecto, Víctor Ruiz, fundador de SILIKN, opinó que la solución no es sencilla. Aunque CrowdStrike ha revertido el cambio, esto no soluciona el problema en los equipos afectados. No es posible resolverlo de manera remota; la única opción es eliminar manualmente el archivo causante de los bloqueos en cada equipo, uno por uno. Este proceso es lento, costoso y complicado, especialmente porque los equipos corporativos suelen estar cifrados, lo que dificulta aún más la resolución.

El asunto crítico es que cada minuto de inactividad se traduce en enormes pérdidas económicas: aerolíneas paralizadas, bancos fuera de servicio, hospitales sin atención, estaciones de televisión detenidas y supermercados cerrados, entre otros.

En este contexto, ya comienzan a surgir verdaderos ciberataques. Tras el incidente, los ciberdelincuentes se han movido rápidamente para establecer campañas de phishing y lanzar ataques de ingeniería social, suplantando la identidad de CrowdStrike.

Informan a las empresas que pueden descargar una actualización o parche de seguridad que, en realidad, contiene malware. Estas acciones pueden resultar en el robo de información, acceso no autorizado a las empresas, instalación de ransomware y otros tipos de ataques.

Por ejemplo, se ha reportado la aparición de dominios maliciosos diseñados para aprovechar la reciente interrupción de CrowdStrike con fines de estafa:

crowdstrike-bsod[.]com
crowdstrike-helpdesk[.]com
crowdstrike0day[.]com
crowdstrike[.]fail
crowdstrikebluescreen[.]com
crowdstrikebsod[.]com
crowdstrikebug[.]com
crowdstrikeclaim[.]com
crowdstrikedoomsday[.]com
crowdstrikedown[.]site
crowdstrikefail[.]com
crowdstrikefix[.]com
crowdstrikefix[.]zip
crowdstrikehealthcare[.]com
crowdstrikeoopsie[.]com
crowdstrikeoutage[.]info
crowdstrikereport[.]com
crowdstriketoken[.]com
crowdstrikeupdate[.]com
crowdstrikeupdate[.]com
fix-crowdstrike-apocalypse[.]com
fix-crowdstrike-bsod[.]com
iscrowdstrikedown[.]com
iscrowdstrikedown[.]com
isitcrowdstrike[.]com
microsoftcrowdstrike[.]com
whatiscrowdstrike[.]com

También se ha detectado que ciberdelincuentes están buscando en foros clandestinos malware que pueda aprovechar el incidente de CrowdStrike, con solicitudes como: “Conozco una empresa que utiliza CrowdStrike y quiero probar la eficacia de los sensores. ¿Alguien sabe de algún malware disponible o a la venta que pueda eludir los sensores de la máquina, incluso para realizar un movimiento lateral a otra máquina sin el sensor?” Según un análisis de la unidad de investigación de SILIKN, un bypass (una técnica utilizada para evadir las medidas de seguridad y obtener acceso no autorizado o realizar acciones maliciosas) se está cotizando a un precio inicial de 10 mil dólares.

Finalmente, Víctor Ruíz dijo que es crucial prestar atención a las comunicaciones oficiales de CrowdStrike, estar alerta ante posibles correos falsos que suplantan la identidad de la empresa, revisar y actualizar los procedimientos de seguridad, implementar controles de calidad más rigurosos para las actualizaciones, tener planes de contingencia para mitigar el impacto de fallos tecnológicos, mantener una comunicación clara con los clientes y fomentar la capacitación continua del personal en la gestión de crisis tecnológicas.

Lo Más Reciente

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización...

Los ‘Scam-Yourself Attacks’ aumentan 614% en el tercer trimestre del año: informe

Los 'Scam-Yourself Attacks' o "ataques de estafa”, en los...

Newsletter

Recibe lo último en noticias e información exclusiva.

Mireya Cortés
Mireya Cortés
Editora CIO Ediworld Online. La puedes contactar en mcortes@ediworld.com.mx

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube de Tenable descubrió nuevas técnicas de ataque en los Lenguajes Específicos de Dominio (DSLs, por...

“Mejorar la visibilidad en el ecosistema tecnológico, interno y de cara al cliente” : José Armando López Flores, CISO de Crediclub

“Queremos ser esa institución financiera que cubra con las expectativas de los clientes a través de garantizarles que su patrimonio estará seguro”. Con el objetivo...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización en la atención al cliente por medio de la tecnología, PepsiCo México desarrolló a Shopperbot....