Los ciberdelincuentes utilizan Interrupción de CrowdStrike la semana pasada como vehículo para ataques de ingeniería social contra los clientes del proveedor de seguridad.
En las horas posteriores al evento que dejó en tierra aviones, cerró tiendas, cerró instalaciones médicas y más, las agencias nacionales de ciberseguridad en todo el mundo NOSOTROS, REINO UNIDO, CanadáY Australia Todos informaron actividad de phishing por parte de delincuentes menores. Este tipo de cosas es de esperarse después de cualquier acontecimiento noticioso nacional. Pero, según Luigi Lenguito, director ejecutivo de BforeAI, estos ataques posteriores a CrowdStrike son más numerosos y más específicos que los que suelen verse después de las principales noticias de los medios.
Como referencia, “durante el ataque de la semana pasada a Trump, vimos un aumento en el primer día de 200 [related cyber threats] “Y luego el número se estabilizó en 40 o 50 por día”, explica. “Aquí observamos un pico tres veces mayor. Observamos entre 150 y 300 ataques por día. Yo diría que este no es el volumen normal de ataques relacionados con la información. »
Perfil de estafa de CrowdStrike
“La filosofía es: algunos usuarios de grandes empresas se pierden porque sus computadoras no pueden conectarse al sistema principal y ahora están intentando conectarse. Esta es una oportunidad perfecta para que los ciberdelincuentes vuelvan a ingresar a estas redes”, explica Lenguito.
Esto hace que los ataques de phishing con temática de CrowdStrike sean particularmente diferentes de los que tienen como tema el asesinato de Trump, por ejemplo. Están mucho más dirigidos (apuntan a organizaciones afectadas por la interrupción) y las víctimas potenciales tienen más conocimientos técnicos y están mejor capacitadas en ciberseguridad que el oso promedio.
Para convencer a estas personas de que les dejen entrar, los atacantes se hacen pasar por la propia empresa, el soporte técnico asociado o empresas competidoras que ofrecen sus propias “ofertas”.
La prueba está en dominios de phishing y typosquatting registrado en los últimos días, como crowdstrikefix[.]con, actualización de crowdstrike[.]com y www.microsoftcrowdstrike[.]com. Un investigador de seguridad identificado más de 2.000 dominios de este tipo que se han generado hasta el momento.
Estos dominios se pueden utilizar para distribuir malware, como Archivo ZIP que dice ser una solución que se subió a un servicio de escaneo de malware el fin de semana pasado. El ZIP contenido Cargador pirata (también conocido como IDAT Loader), que a su vez cargó el RemCos RATAEl archivo se informó por primera vez en México y contenía nombres de archivo en español, lo que indica que la campaña probablemente estaba dirigida a clientes de CrowdStrike en América Latina.
Dentro otro casoLos atacantes distribuyeron un correo electrónico de phishing con el tema de CrowdStrike con un archivo adjunto en formato PDF de diseño tosco. Dentro del PDF había un enlace para descargar un archivo adjunto ZIP que contenía un ejecutable. Una vez iniciado, el ejecutable pidió permiso a la víctima para instalar una actualización. La actualización, sin embargo, fue un borrador. El grupo hacktivista pro Hamas “Handala” asumió la responsabilidadafirmando que “docenas” de organizaciones israelíes habían perdido varios terabytes de datos a causa de ello.
Independientemente de cómo surjan las amenazas, afirma Lenguito, las organizaciones pueden protegerse mediante el uso de listas de bloqueo, herramientas de protección de DNS y evitando el soporte técnico desde cualquier lugar que no sea el sitio web y los canales de comunicación de CrowdStrike.
O tal vez simplemente puedan esperar. “Aún es pronto, ¿verdad?” Es probable que veamos que la tendencia se modera en las próximas semanas. Normalmente lo que vemos es que estas campañas tienden a durar de dos a tres semanas”, afirma.