Dominios maliciosos buscaron aprovechar la interrupción de CrowdStrike
Tiempo después del desastroso incidente de CrowdStrike, el cual tuvo lugar el pasado 19 de julio, según los análisis de diversas unidades de investigación, determinaron que no se trató de un ciberataque, sino de una interrupción masiva provocada por un fallo en la actualización de un producto EDR, llamado Falcon Sensor.
Dicha actualización fallida afectó a los dispositivos que utilizan el sistema operativo Windows, propiedad de Microsoft, siendo esta la causa principal del inconveniente mundial que se generó. Aproximadamente, CrowdStrike tiene aproximadamente 24 mil clientes alrededor del mundo, incluida a las compañías más grandes y poderosas.
A pesar de que la empresa informó que el problema ha sido identificado y aislado, además de haber implementado una solución, los dispositivos afectados por la “pantalla azul de la muerte”, van a recibir una actualización adicional para que puedan estabilizarse. Esta pantalla azul, conocida como BSOD o Blue Screen Of Death, es un problema que detiene por completo el funcionamiento del sistema, requiriendo un reinicio.
Una de las dificultades a la hora de estimar la cantidad de ordenadores individuales afectados por este incidente, radica en que cada cliente de CorwdStrike es corporativo. Por ello, es probable que esta solución deba aplicarse a cada equipo afectado de forma individual, representando un gran desafío para los departamentos técnicos y de tecnología de todo el orbe.
Se sabe que la solución no es fácil. Aunque CrowdStrike ha revertido el daño, esto no soluciona por sí solo el inconveniente en los dispositivos afectados. Además, es imposible resolverlo de forma remota, por lo que la única solución es eliminar el archivo causante del bloque en cada máquina, una por una, y esto de forma manual.
Cabe destacar que este proceso es lento, costoso y complejo, esto se debe a que los equipos corporativos suelen estar cifrados, complicando aún más la situación de las empresas.
Lo crítico de esta situación es que cada minuto de inactividad se puede traducir en pérdidas económicas masivas; aerolíneas paralizadas, hospitales sin la debida atención, supermercados cerrados, bancos fuera de servicio y estaciones de televisión detenida, y esto solo por nombrar algunos.
TIC Defense se ha desempeñado como un referente a la hora de proveer servicios y herramientas de ciberseguridad a cientos de clientes. Nuestra tecnología innovadora permite prevenir y dar respuesta rápida a cualquier incidente que tenga que ver con intrusiones no autorizadas a tu red empresarial, entre otros incidentes.
Si bien el episodio del 19 de julio no fue un ataque, lo que sucedió después sí puede catalogarse como una serie de ciberataques asociados. Esto debido a que los hackers maliciosos se pudieron mover de forma rápida para implementar campañas de phishing y lanzar ataques de ingeniería social a gran escala, suplantando la identidad de CrowdStrike.
Dichas campañas informaban a las personas que podían descargar una aplicación o parche de seguridad que, en realidad, contenía malware. Las acciones pudieron resultar en el robo de información, accesos no autorizados a organizaciones, instalación de ramsonware, entre otros tipos de ciberataques.
Un ejemplo de esto son los reportes en donde se han detectado múltiples dominios maliciosos, los cuales están diseñados para aprovechar el incidente reciente de CrowdStrike con fines de estafa. Del mismo modo, los actores maliciosos buscaban en foros clandestinos algún malware que pudiera aprovechar el evento del 19 de julio, con diversas solicitudes para eludir la seguridad de las empresas.
