La empresa de ciberseguridad CrowdStrike, ahora advierte que los actores de
amenazas están explotando la situación para distribuir Remcos RAT a sus
clientes en América Latina con el pretexto de proporcionar una revisión.
Las cadenas de ataque implican la distribución de un archivo ZIP llamado
crowdstrike-hotfix.zip, una versión del downloader de HijackLoader que, a su vez, descarga y
lanza la carga útil de Remcos RAT.
Específicamente, el archivo de almacenamiento también incluye un archivo de
texto («instrucciones.txt») con instrucciones en español que insta a
los objetivos a ejecutar un archivo ejecutable («setup.exe») para
recuperarse del problema.
«En particular, los nombres de archivos en español y las instrucciones
dentro del archivo ZIP indican que esta campaña probablemente esté dirigida
a clientes de CrowdStrike con sede en América Latina (LATAM)»,
dijo la compañía, atribuyendo la campaña a un presunto grupo de delitos electrónicos.
Además, SANS compartió una publicación sobre un dominio falso llamado «crowdstrikeclaim[.]com», ofreciendo un formulario para que las organizaciones afectadas soliciten una revisión gratuita de su reclamo. El formulario solicita información detallada, incluido el número de teléfono, nombre, apellido y dirección de correo electrónico. El envío de estos datos personales y organizacionales podría resultar en robo de identidad o acceso no autorizado a cuentas. Y, John Hammond, compartió otro un dominio llamado «crowdstrikebluescreen[.]com», que ofrece servicios a las organizaciones afectadas.
AnyRun, quien también tuiteó sobre la misma campaña, dijo que la revisión falsa entrega HijackLoader, que luego coloca la herramienta de acceso remoto Remcos en el sistema infectado.
El viernes,
CrowdStrike reconoció
que una actualización rutinaria de la configuración del sensor enviada a su
plataforma Falcon para dispositivos Windows el 19 de julio a las 04:09 UTC
desencadenó inadvertidamente un error lógico que resultó en una pantalla azul
de la muerte (BSoD), que dejó numerosos sistemas inoperables y envió empresas
en picada. El evento afectó a los clientes que ejecutaban el sensor Falcon
para Windows versión 7.11 y superior, que estaban en línea entre las 04:09 y
las 05:27 UTC.
Los actores maliciosos no han perdido el tiempo aprovechando el caos creado
por el evento para crear dominios de typosquatting que se hacen pasar
por CrowdStrike y anunciar servicios a las empresas afectadas por el problema
a cambio de un pago en criptomonedas.
Se recomienda a los clientes afectados que
«se aseguren de comunicarse con los representantes de CrowdStrike a través
de canales oficiales y cumplan con la orientación técnica que los equipos de
soporte de CrowdStrike han brindado».
Microsoft, que ha estado colaborando con CrowdStrike en esfuerzos de
remediación, dijo que la crisis digital paralizó 8,5 millones de dispositivos
Windows en todo el mundo, o menos del uno por ciento de todas las máquinas con
Windows.
Este
acontecimiento, que una vez más ha puesto de relieve los riesgos asociados con la
dependencia de cadenas de suministro monoculturales, marca la primera vez que
se hace público oficialmente el verdadero impacto y escala de lo que
probablemente será el evento cibernético más disruptivo de la historia. Los
dispositivos Mac y Linux no se vieron afectados por la interrupción.
«Este incidente demuestra la naturaleza interconectada de nuestro amplio
ecosistema: proveedores globales de nube, plataformas de software,
proveedores de seguridad y otros proveedores de software, y clientes»,
dijo el gigante tecnológico.
«También es un recordatorio de lo importante que es para todos nosotros en
el ecosistema tecnológico priorizar el funcionamiento con una implementación
segura y recuperación ante desastres utilizando los mecanismos que
existen».
Fuente:
THN
Los comentarios están cerrados.