Un investigador de ciberseguridad advirtió este sábado que la banda de ransomware Remcos estaba distribuyendo un falso arreglo que apuntaba al banco BBVA. AnnyRun comprobó el anunció e identificó que la carga también incluía un limpiador de datos bajo el pretexto de una actualización de CrowdStrike.
Actores maliciosos están aprovechando el reciente incidente global de CrowdStrike Falcon y están atacando con malware y data wipers (borradores de datos) a varias organizaciones que se vieron afectadas.
Este ataque coincide con los esfuerzos de las empresas por resolver los problemas causados por la falla en la actualización de CrowdStrike del pasado viernes 19 de julio.
En medio de la búsqueda de soluciones para los hosts de Windows afectados, investigadores y agencias gubernamentales han reportado un aumento en correos electrónicos de phishing, diseñados para explotar la situación.
Por su parte, CrowdStrike ha afirmado que está «ayudando activamente a los clientes» afectados por la actualización defectuosa que impactó a millones de hosts de Windows a nivel global, pero para ello, la empresa está solicitando a sus clientes comunicarse únicamente a través de canales oficiales para evitar ser víctimas de fraude.
George Kurtz, CEO de CrowdStrike, enfatizó la importancia de mantenerse alerta y en contacto con los representantes oficiales de la empresa, utilizando el blog y soporte técnico de CrowdStrike para obtener actualizaciones oficiales.
En paralelo, el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) advirtió de un incremento de campañas de phishing relacionados con la interrupción del servicio, mientras que la plataforma de análisis automatizado de malware AnyRun ha detectado un aumento en intentos de suplantar a CrowdStrike. Ambas situaciones son inequívocas señales de un aumento del phishing aprovechando el incidente.
Fue el investigador de ciberseguridad identificado como “@g0njxa” en su cuenta de X (ex Twitter) quien informó por primera vez sobr el fenómeno este sábado, un día después del incidente.
La evidencia presentada “@g0njxa” da cuenta de una campaña de malware dirigida a clientes del banco BBVA, que ofrecía una falsa actualización denimonado “CrowdStrike Hotfix”, la cual en realidad estaba instalando el troyano de acceso remoto (RAT) Remcos. La falsa actualización se estaba promoviendo a través de un sitio de phishing que se hacía pasar por un portal de intranet de banco.
Sobre el incidente y los eventuales escenarios de riesgos que genera, nuestro especialista en ciberseguridad, Italo Dattari, comentó que «cuando una empresa, que tiene tal relevancia como Crowdstrike, genera una perdida global de los servicios y en la que se produce tal nivel noticioso, es de esperarse que se abra una puerta o un vector de ataque para el abuso de los usuarios y compañías que se vieron afectadas», y agregó que «la ingeniería social juega mucho con las carencias, expectativas y dificultades que tienen los usuarios, para provocar algún daño, perjuicio o usufructo de esto». En esa misma línea, recalcó «la relevancia de la constante capacitación y concientización para todos y todas, ya que la educación es la medida más efectiva para evitar caer ante este tipo de fraudes».
Tal como señala nuestro especialista, el phishing con la falsa actualizacipon busca manipular a los usuarios y entrega a estos instrucciones para el archivo malicioso para instalar el malware argumentando que se trata de la actualización para evitar errores de conexión con la red interna de la entidad bancaria.
En el caso de AnyRun, la entidad señaló que la falsa revisión entrega HijackLoader a partir de la cual se instala el RAT de Remcos en los sistemas infectados, pero también advierte que la distribución continue un limpiador de datos bajo la apariencia de una actualización de CrowdStrike, que destruye archivos sobrescribiéndolos con ceros y luego informa la actividad a través de Telegram.
Esta campaña fue reivindicada en días pasados por el grupo hacktivista proiraní Handala, que afirmó haberse hecho pasar por CrowdStrike para distribuir el limpiador de datos a empresas israelíes, esto en el contexto del conflicto bélico y diplomático en el medio oriente.
Al respecto, nuestro especialista Italo Dattari señaló que «Para nadie es desconocido que en el último tiempo los conflictos bélicos se han apoderado de gran parte de la agenda. Esto tiene un impacto directo en el ciberespacio, dado que esta ciber guerra mueve las aguas de la delincuencia, fomentando el desarrollo de nuevos ataques y vectores de compromiso».
El método de ataque que utilizan los atacantes consiste en el envío de correos electrónicos desde el dominio “crowdstrike.com.vc”, en cuyo mensaje informan a los clientes que una herramienta había sido creada para restaurar sistemas Windows.
Estos correos incluyen un PDF con instrucciones adicionales y un enlace para descargar un archivo ZIP malicioso que contiene un ejecutable llamado ‘Crowdstrike.exe’.
Una vez ejecutada la actualización falsa, el data wiper se extrae a una carpeta en %Temp% y se lanza para destruir los datos en el dispositivo.
Según datos de Microsoft, la actualización de CrowdStrike Falcon del pasado viernes impactó a 8,5 millones de dispositivos Windows en un período de 78 minutos, lo que tuve impacto en numerosas organizaciones a nivel global, tal como lo informamos el pasado viernes.