Los hackers se están aprovechando de la caída de servicio de CrowdStrike
Hackers han estado creando sitios web falsos diseñados para atraer a las personas que buscan información sobre, o soluciones, a la crisis IT global, pero en realidad están diseñados para recolectar información de visitantes o robar sus dispositivos, dijeron los expertos de la seguridad.
Los sitios fraudulentos utilizan nombres de dominio que incluyen palabras clave como CrowdStrike — la empresa de ciberseguridad detrás de una actualización de software fallida que originó la crisis — o “pantalla azul”, lo que se muestra en los ordenadores afectados por el fallo de CrowdStrike al arrancar.
Los sitios fraudulentos pueden tentar a las víctimas ofreciendo una rápida solución al problema de CrowdStrike o engañándolas con ofertas de falsas criptomonedas.
En un comunicado sobre la interrupción, el Departamento de Seguridad Interior ha observado “actores maliciosos aprovechándose de este incidente para phishing y otras actividades maliciosas”.
“Mantente atento y solo sigue instrucciones de fuentes legítimas”, dijo el comunicado emitido por la Agencia de Seguridad Cibernética e Infraestructuras Cibernéticas del Departamento. CrowdStrike ha emitido sus propias recomendaciones sobre qué organizaciones pueden hacer en respuesta a la situación.
La situación ilustra cómo un evento de riesgo volátil y de gran impacto ha creado riesgos secundarios para millones de personas mientras los malactores intentan aprovecharse de la desgracia de CrowdStrike y miles de organizaciones se esforzan por recuperarse de la actualización de software fallida de CrowdStrike.
“Es un patrón bastante común que vemos después de incidentes de este tamaño”, dijo Kenn White, investigador de seguridad independiente especializado en seguridad de red, en una entrevista con CNN. “Los criminales son infatigables en sus esfuerzos creativos para explotar lo más vulnerable”.
Durante el apagón de viernes, CrowdStrike mismo advirtió de que los hackers intentaban aprovechar la situación al “utilizarla como un atractivo”. En un post de blog, CrowdStrike dijo que los maliciosos no solo están creando sitios web falsos sino que también están impersonando empleados de CrowdStrike en correos electrónicos y llamadas telefónicas, además de vender software falso supuestamente para arreglar el fallo.
Una de esas ataques ha estado dirigida a clientes de CrowdStrike de habla hispana, la empresa dijo en un segundo post de blog. El ataque viene en la forma de un archivo engañosamente llamado crowdstrike-hotfix.zip. Al abrirse, el archivo instala software malicioso que comunica con un servidor que controlan los piratas informáticos y puede usar para dar instrucciones adicionales a la malware.
Actualmente no hay una solución automatizada para recuperarse del fallo de software de CrowdStrike, lo que según han dicho los expertos significará un largo y penoso proceso de recuperación que puede costar millones — si no billones — de dólares.
“CrowdStrike Intelligence recomienda que las organizaciones mantengan la comunicación con representantes de CrowdStrike a través de canales oficiales y que sigan las instrucciones técnicas que los equipos de soporte de CrowdStrike han proporcionado”, dijo la empresa.
En algunos sentidos, lo que se está desarrollando en el espacio cibernético se asemeja a cómo la desinformación y la desinformación pueden inundar la comprensión pública de los eventos que se producen en el mundo físico.
Los hackers comúnmente intentan utilizar historias de noticias altas en el perfil para canalizar el tráfico suyo. Por ejemplo, después del gran robo de datos de Equifax anunciado en 2017, las empresas de seguridad informaron de que habían observado a los ciberdelincuentes enviando cientos de miles de correos electrónicos de phishing. Los correos electrónicos buscaban engañar a víctimas ansiosas que, debido a la noticia de Equifax, podrían haber sido más propensas a abrir un correo electrónico de su banco, dijeron los expertos en ese momento.
Estos tipos de escams de eventos están teniendo lugar contra el fondo de un aumento general de escams de impersonación.
En los últimos años, la Comisión Federal de Comercio ha destacado un aumento de los escams en los que los ciberdelincuentes se presentan como funcionarios o agencias gubernamentales, como el Servicio de Impuestos Internos o la Administración Social de Seguridad. Durante la emergencia de Covid-19, los hackers creativos incluso se hicieron pasar por la Presidenta de la Comisión Federal de Comercio Lina Khan y enviaron correos electrónicos falsos que falsamente afirmaban que la agencia estaba distribuyendo fondos de ayuda pandémica — lo que provocó que la FTC hiciera un llamamiento a los consumidores para no responder a esos mensajes.
Los estadounidenses han perdido colectivamente cientos de millones de dólares en estos escams de impersonación, dijo la FTC.
En una situación como la interrupción de CrowdStrike, donde las personas están buscando información en un momento urgente y rápido y están hambrientes de soluciones, el phishing puede engañar a personas y organizaciones bien intencionadas y tomar malas decisiones, haciendo un malo situación peor.
Los peligros de phishing se complejican con otros riesgos secundarios, como well. Algunas organizaciones pueden decidir por su propia iniciativa desactivar o incluso deshabilitar sus defensas de seguridad cibernética mientras intentan restaurar las operaciones.
“Los clientes empiezan a recuperarse y probablemente deshabilitarán o modificarán sus protecciones de CrowdStrike”, dijo Azim Khodjibaev, investigador de seguridad cibernética de Cisco Talos, el brazo de ciberseguridad de la empresa de redes Cisco, en un post en X. “Esto deja una gran cantidad de personas expuestas!”
Si empresas comienzan a caer víctimas de ataques de phishing que terminan comprometiendo datos importantes o sistemas clave, podría tener repercusiones para sus clientes corporativos y consumidores, advertir Brett Callow, gerente de práctica de seguridad cibernética de FTI Consulting.
“Los malos actores intentan aprovecharse de los eventos actuales, así que no es sorprendente verlos intentando aprovecharse de este uno”, dijo Callow. “Y, claro, esto es algo que los clientes de empresas que han experimentado incidentes de alto perfil deben estar listos para”.
La industria tecnológica, especialmente las empresas como CrowdStrike, deben fortalecer sus medidas de seguridad para impedir tales impersonaciones y sitios web falsos, ya que los hackers están utilizando la interrupción IT de CrowdStrike a su favor creando escams técnicamente sofisticados. Las empresas necesitan ser vigilantes y solo confiar en la información de fuentes oficiales y legítimas para evitar caer víctimas de estos ataques de phishing.
