El pasado viernes, una actualización rutinaria de software por parte de CrowdStrike desencadenó inadvertidamente una interrupción crítica en varias infraestructuras y organizaciones. Esta actualización provocó la temida pantalla azul de la muerte (BSOD), dejando inoperativos numerosos sistemas y generando caos en múltiples sectores. Aunque inicialmente no se clasificó como un incidente de ciberseguridad, la situación subraya la fragilidad inherente de la seguridad digital y el riesgo potencial de que tales interrupciones se conviertan en amenazas significativas.
La pantalla azul de la muerte (BSOD) es más que un simple fallo; es un símbolo de problemas mayores dentro de un sistema. Cuando aparece, indica que el sistema operativo ha encontrado un error crítico del cual no puede recuperarse sin reiniciar. En el contexto de la interrupción de CrowdStrike, la aparición de la BSOD no solo detuvo las operaciones, sino que también creó una ventana de oportunidad para posibles ataques cibernéticos.
Conoce más sobre: Colapso Mundial por Caída de CrowdStrike
Lamentablemente, la interrupción causada por CrowdStrike ha facilitado la actividad de actores de amenazas oportunistas. Los ciberdelincuentes han aprovechado rápidamente la situación con ataques de ingeniería social, creando dominios fraudulentos y páginas de phishing que se hacen pasar por soluciones para el problema del BSOD. Por ejemplo, un dominio malicioso redirigió a los usuarios a páginas de pago que solicitaban criptomonedas como Bitcoin y Ethereum, bajo el pretexto de ofrecer una solución.
Además, se identificó otro dominio que promete brindar asistencia técnica a las compañías impactadas por esta situación.
Podría interesarte leer: Detecta si estás en un Sitio Web Pirateado
La reciente interrupción causada por una actualización rutinaria de CrowdStrike ha sido explotada por actores de amenazas para distribuir el malware Remcos RAT entre sus clientes en América Latina. Bajo el pretexto de proporcionar una solución al problema de la pantalla azul de la muerte (BSoD), los atacantes han implementado una serie de tácticas engañosas y maliciosas.
Los ciberdelincuentes han comenzado a distribuir un archivo ZIP llamado "crowdstrike-hotfix.zip". Este archivo comprimido contiene un cargador de malware conocido como Hijack Loader (también conocido como DOILoader o IDAT Loader) que, al ejecutarse, lanza la carga útil del Remcos RAT. Además del cargador de malware, el archivo ZIP incluye un archivo de texto ("instrucciones.txt") con instrucciones en español. Estas instrucciones guían a las víctimas a ejecutar un archivo ejecutable ("setup.exe") supuestamente para solucionar el problema del BSoD.
La presencia de nombres de archivo y las instrucciones en español sugiere que esta campaña está específicamente dirigida a clientes de CrowdStrike en América Latina. La compañía ha atribuido esta campaña a un grupo de delitos electrónicos, destacando la rapidez con la que los actores maliciosos han capitalizado el caos generado por la interrupción.
Microsoft, que ha colaborado con CrowdStrike en los esfuerzos de remediación, ha informado que la crisis digital paralizó 8,5 millones de dispositivos Windows a nivel mundial, representando menos del uno por ciento de todas las máquinas Windows. Es importante destacar que los dispositivos Mac y Linux no se vieron afectados por esta interrupción.
Este incidente ha resaltado los riesgos asociados con la dependencia de cadenas de suministro monoculturales y la interconexión del ecosistema tecnológico global. Según Microsoft, es un recordatorio de la importancia de priorizar la implementación segura y la recuperación ante desastres.
Podría interesarte leer: DRaaS o BaaS: Elige la Mejor Protección para tu Empresa
Microsoft ha desarrollado y puesto a disposición una nueva herramienta de recuperación diseñada específicamente para abordar los problemas causados por la actualización defectuosa de CrowdStrike. Esta herramienta está destinada a ayudar a los administradores de TI a reparar las máquinas Windows afectadas, permitiéndoles restaurar sistemas operativos y aplicaciones críticas de manera eficiente.
La herramienta de recuperación de Microsoft ofrece las siguientes funcionalidades:
La reciente interrupción causada por la actualización defectuosa de CrowdStrike y su posterior explotación por actores maliciosos pone de manifiesto la importancia de estar preparados para enfrentar incidentes imprevistos en el entorno digital. La rápida respuesta de Microsoft y CrowdStrike, proporcionando herramientas de recuperación y recursos de remediación, ha sido crucial para mitigar el impacto y restaurar la funcionalidad de los sistemas afectados. Sin embargo, este evento subraya la necesidad de contar con planes robustos de recuperación ante desastres (DRP) y soluciones integrales de backup y ciberseguridad.
En este contexto, soluciones de ciberseguridad avanzadas como nuestro TecnetProtect, son indispensables. TecnetProtect no solo ofrece protección contra amenazas y vulnerabilidades, sino que también proporciona herramientas para la seguridad de email, copias de seguridad, características de DRP, asegurando que cualquier incidente pueda ser detectado y mitigado antes de causar un impacto significativo.