Ciberseguridad en Riesgo: Ataques de Remcos RAT Aprovechan Fallos en Actualización de CrowdStrike
En el ámbito de la ciberseguridad, incluso los actores más destacados no están exentos de enfrentar contratiempos que pueden desencadenar problemas a gran escala. Un ejemplo reciente de esta situación ocurrió cuando una actualización defectuosa de CrowdStrike provocó interrupciones masivas en sistemas Windows a nivel mundial.
Situación de Crisis
El 19 de julio de 2024, una configuración rutinaria del sensor de la plataforma Falcon de CrowdStrike para dispositivos Windows desencadenó un error lógico. Este incidente causó el temido Pantallazo Azul de la Muerte (BSoD), dejando numerosos sistemas inoperables y afectando a múltiples empresas. Los clientes afectados usaban la versión 7.11 del sensor Falcon y estuvieron en línea entre las 04:09 y 05:27 UTC.
Oportunidad para Amenazas
Aprovechando el caos derivado de este problema, actores malintencionados no tardaron en orquestar campañas de malware, apuntando inicialmente a clientes de CrowdStrike en América Latina. Estos cibercriminales están distribuyendo un archivo ZIP llamado “crowdstrike-hotfix.zip,” el cual contiene un cargador de malware conocido como Hijack Loader (también denominado DOILoader o IDAT Loader). Este cargador se encarga de ejecutar la carga maliciosa del Remcos RAT (Remote Access Trojan).
El archivo ZIP incluye también un archivo de texto en español (“instrucciones.txt”) con instrucciones que insisten a los usuarios en ejecutar un archivo llamado “setup.exe” para supuestamente resolver el problema.
Focos de Atención Regional
La elección de nombres y archivos en español indica que esta campaña se dirige específicamente a los clientes de CrowdStrike en América Latina. La compañía ha atribuido esta actividad a un grupo de ciberdelincuencia potencial.
Ataques por Typosquatting
Además de la distribución del malware, se ha detectado la creación de dominios similares a los de CrowdStrike (typosquatting) cuyo objetivo es confundir a las víctimas para que piensen que están en comunicación con la empresa legítima. Estos sitios fraudulentos ofrecen servicios falsos a cambio de pagos en criptomonedas.
Recomendaciones para los Afectados
CrowdStrike aconseja que los usuarios afectados aseguren la comunicación únicamente a través de canales oficiales de la empresa y sigan las orientaciones técnicas proporcionadas por los equipos de soporte.
Conclusión
Este escenario subraya la importancia de mantener una postura vigilante en ciberseguridad, especialmente durante periodos de interrupciones y fallas técnicas. Las organizaciones deben fortalecerse contra posibles ataques aprovechando periodos de vulnerabilidad y asegurar siempre la autenticidad de las fuentes de reparación y soporte.
Para más detalles sobre este suceso, puedes consultar la publicación completa aquí.
Fuente: https://thehackernews.com/2024/07/cybercriminals-exploit-crowdstrike.html