Potenciales dominios maliciosos buscaron aprovechar la interrupción de CrowdStrike

Después del incidente de CrowdStrike, iniciado el 19 de julio de 2024, según la información oficial y los análisis de la unidad de investigación de SILIKN se determinó que no fue un ciberataque, sino una interrupción significativa provocada por un problema en una actualización de su producto EDR, Falcon Sensor. Esta actualización afectó dispositivos que utilizan el sistema operativo Windows de Microsoft, siendo la causa principal del fallo global. CrowdStrike tiene aproximadamente 24 mil clientes, incluidas algunas de las empresas más grandes del mundo.

A pesar de que CrowdStrike informó que el problema fue identificado y aislado, y se ha implementado una solución, los dispositivos afectados por el "pantallazo azul" deberán recibir una actualización adicional para estabilizarse. La pantalla azul es un problema conocido como BSOD (Blue Screen Of Death), que detiene por completo el funcionamiento del sistema y requiere un reinicio.

Cada cliente de CrowdStrike es una gran corporación, lo que dificulta estimar la cantidad de computadoras individuales afectadas por el incidente del 19 de julio. Es probable que la solución deba aplicarse a cada dispositivo afectado de manera individual, lo que representa un gran desafío para los departamentos de tecnología en todo el mundo.

La solución no es sencilla. Aunque CrowdStrike ha revertido el cambio, esto no soluciona el problema en los equipos afectados. No es posible resolverlo de manera remota; la única opción es eliminar manualmente el archivo causante de los bloqueos en cada equipo, uno por uno. Este proceso es lento, costoso y complicado, especialmente porque los equipos corporativos suelen estar cifrados, lo que dificulta aún más la resolución.

El asunto crítico es que cada minuto de inactividad se traduce en enormes pérdidas económicas: aerolíneas paralizadas, bancos fuera de servicio, hospitales sin atención, estaciones de televisión detenidas y supermercados cerrados, entre otros.

En este contexto, comenzaron a surgir verdaderos ciberataques. Tras el incidente, los ciberdelincuentes se movieron rápidamente para establecer campañas de phishing y lanzar ataques de ingeniería social suplantando la identidad de CrowdStrike. Las campañas informaban a las empresas que podían descargar una actualización o parche de seguridad que, en realidad, contenía malware. Esas acciones pudieron resultar en el robo de información, acceso no autorizado a las empresas, instalación de ransomware y otros tipos de ataques.

Por ejemplo, se reportó la aparición de dominios maliciosos diseñados para aprovechar la reciente interrupción de CrowdStrike con fines de estafa:

crowdstrike-bsod[.]com
crowdstrike-helpdesk[.]com
crowdstrike0day[.]com
crowdstrike[.]fail
crowdstrikebluescreen[.]com
crowdstrikebsod[.]com
crowdstrikebug[.]com
crowdstrikeclaim[.]com
crowdstrikedoomsday[.]com
crowdstrikedown[.]site
crowdstrikefail[.]com
crowdstrikefix[.]com
crowdstrikefix[.]zip
crowdstrikehealthcare[.]com
crowdstrikeoopsie[.]com
crowdstrikeoutage[.]info
crowdstrikereport[.]com
crowdstriketoken[.]com
crowdstrikeupdate[.]com
crowdstrikeupdate[.]com
fix-crowdstrike-apocalypse[.]com
fix-crowdstrike-bsod[.]com
iscrowdstrikedown[.]com
iscrowdstrikedown[.]com
isitcrowdstrike[.]com
microsoftcrowdstrike[.]com
whatiscrowdstrike[.]com

También se detectó que ciberdelincuentes buscaban en foros clandestinos malware que pudiera aprovechar el incidente de CrowdStrike, con solicitudes como: "Conozco una empresa que utiliza CrowdStrike y quiero probar la eficacia de los sensores. ¿Alguien sabe de algún malware disponible o a la venta que pueda eludir los sensores de la máquina, incluso para realizar un movimiento lateral a otra máquina sin el sensor?". 

Según un análisis de la unidad de investigación de SILIKN, un bypass (una técnica utilizada para evadir las medidas de seguridad y obtener acceso no autorizado o realizar acciones maliciosas) se estaba cotizando a un precio inicial de 10 mil dólares.

En esta situación, es crucial prestar atención a las comunicaciones oficiales de CrowdStrike, estar alerta ante posibles correos falsos que suplantan la identidad de la empresa, revisar y actualizar los procedimientos de seguridad, implementar controles de calidad más rigurosos para las actualizaciones, tener planes de contingencia para mitigar el impacto de fallos tecnológicos, mantener una comunicación clara con los clientes y fomentar la capacitación continua del personal en la gestión de crisis tecnológicas.

Víctor Ruiz es fundador de SILIKN y es instructor certificado en Ciberseguridad (CSCT). Además, cuenta con las siguientes credenciales y certificados: (ISC)² Certified in Cybersecurity (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA) y Cisco Ethical Hacker. Es líder del Capítulo Querétaro de la Fundación OWASP.