Los actores maliciosos están aprovechando la interrupción masiva de los negocios causada por la actualización de CrowdStrike del viernes para atacar a las empresas con herramientas de acceso remoto y eliminación de datos.
A medida que las empresas buscan ayuda para reparar los hosts de Windows afectados, los investigadores y las agencias gubernamentales han visto un aumento en los correos electrónicos de phishing que intentan aprovechar la situación.
Comunicación del canal oficial.
En una actualización publicada hoy, CrowdStrike dice que está “ayudando activamente a los clientes” afectados por la reciente actualización de contenido que bloqueó millones de hosts de Windows en todo el mundo.
La compañía aconseja a sus clientes que verifiquen que se están comunicando con representantes legítimos a través de canales oficiales, ya que “adversarios y actores maliciosos intentarán explotar eventos como este”.
“Animo a todos a permanecer atentos y asegurarse de contactar a los representantes oficiales de CrowdStrike. Nuestro blog y soporte técnico seguirán siendo los canales oficiales para las últimas actualizaciones” – George KurtzCEO de CrowdStrike
El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) también prevenido que observó un aumento en los mensajes de phishing destinados a aprovechar la interrupción.
La plataforma automatizada de análisis de malware AnyRun observó “un aumento en los intentos de suplantación de identidad de CrowdStrike que podrían conducir a phishing”. [1, 2, 3].
Malware disfrazado de parches y actualizaciones
El sábado, AnyRun informó que actores maliciosos comenzaron a explotar el incidente de CrowdStrike para difundir HijackLoader, que introdujo la herramienta de acceso remoto Remcos en el sistema infectado.
Para engañar a las víctimas para que instalen el malware, el actor de amenazas disfrazó la carga útil de HijackLoader en un archivo WinRAR prometiendo entregar un parche de CrowdStrike.
Fuente: AnyRun
En otra advertencia, AnyRun anunció que los atacantes también estaban distribuyendo un borrador de datos con el pretexto de entregar una actualización de CrowdStrike.
“Diezma el sistema al sobrescribir archivos con cero bytes y luego lo informa a través de #Telegram” – AnyRun dice.
Fuente: AnyRun
En otro ejemplo, la plataforma de análisis de malware señala que los ciberdelincuentes han comenzado a difundir otros tipos de malware disfrazados de actualizaciones de CrowdStrike o correcciones de errores.
Se distribuyó un ejecutable malicioso a través de un enlace en un archivo PDF que contiene partes de la actualización oficial de CrowdStrike. La URL conducía a un archivo llamado actualizar.zip que incluía el ejecutable malicioso CrowdStrike.exe.
Millones de hosts de Windows están caídos
La falla en la actualización del software CrowdStrike ha tenido un impacto significativo en los sistemas Windows de muchas organizaciones, lo que la convierte en una oportunidad demasiado buena para que los ciberdelincuentes la dejen pasar.
Según Microsoft, la actualización defectuosa “8,5 millones de dispositivos Windows afectadosque es menos del uno por ciento de todas las máquinas con Windows. »
El daño se produjo durante 78 minutos, entre las 04:09 UTC y las 05:27 UTC.
A pesar del pequeño porcentaje de sistemas afectados y los esfuerzos de CrowdStrike para corregir rápidamente el problema, el impacto fue enorme.
Los fallos informáticos han provocado la cancelación de miles de vuelos, han perturbado las actividades de empresas financieras, han dejado fuera de servicio hospitales, medios de comunicación, ferrocarriles e incluso han afectado a los servicios de emergencia.
En una publicación de blog post-mortem publicada el sábado, CrowdStrike explica que la causa de la interrupción fue una actualización del archivo de canal (configuración del sensor) en los hosts de Windows (versión 7.11 y superiores) que desencadenó un error lógico que provocó un bloqueo.
Aunque el archivo de canal responsable de las fallas ha sido identificado y ya no causa problemas, las empresas que aún tienen dificultades para restaurar el funcionamiento normal de los sistemas pueden seguir las instrucciones de CrowdStrike para recuperarse. anfitriones individuales, Claves de BitLockerY entornos basados en la nube.
