Campaña de Phishing CrowdStrike
El día 19 de julio del 2024, la empresa de ciberseguridad CrowdStrike lanzo una actualización en su solución de TI llamada Falcon la cual ha causado que sistemas operativos fallen a nivel mundial con el famoso “pantallazo azul”, interrumpiendo todo tipo de servicios y sectores, como lo son aeropuertos, hospitales y diversas empresas. [1]
Crowdstrike ya se pronunció al respecto e hizo un workaround en lo que se actualiza de manera oficial su software, dicho workaround consiste en borrar un archivo desde un inicio en modo seguro de Windows, logrando así que vuelva a funcionar este mismo. [1]
Este incidente no fue pasado por alto por los ciberdelincuentes, pues en medio de todo el caos aprovecharon la oportunidad para empezar una campaña de phishing respecto al tema haciéndose pasar por el soporte técnico de CrowdStrike y ya se han reportado numerosos casos de gente cayendo en esta técnica, el descubrimiento de esta campaña ya ha sido reportado por la CISA (Cybersecurity and Infraestructure Security Agency) y el UK National Cyber Security Centre.[2][3]
Hasta el momento no se tiene evidencia de estos correos, pero, se ha pedido poner especial atención a correos acreditando ser ´Crowdstrike Support´ o ´Crowdstrike Security´. Esta campaña es sumamente peligrosa ya que Crowdstrike cuenta con una cartera de 29,000 clientes a nivel empresarial de los cuales la mayoría están intentando arreglar la gran falla de este día. [2]
De igual forma, se ha visto un aumento de manera drástica en el registro de dominios con nombres como ‘crowdfalcon-immed-update[.]com’ por lo que es de esperarse que sea un sitio asociado a esta campaña de phishing, aquí hay una lista de los sitios identificados como fraudulentos: [2]
|
Dominio del sitio fraudulento |
|
crowdstrike-helpdesk[.]com |
|
crashstrike[.]com |
|
bsodsm8r[.]xamzgjedu[.]com |
|
crowdstrikebsodfix[.]blob[.]core[.]windows[.]net |
|
crowdstrikecommuication[.]app |
|
fix-crowdstrike-apocalypse[.]com |
|
supportportal-crowdstrike-com[.]translate[.]goog |
|
crowdstrike-cloudtrail-storage-bb-126d5e[.]s3[.]us-west-1[.]amazonaws[.]com |
|
crowdstrikeoutage[.]info |
|
clownstrike[.]co[.]uk |
|
whatiscrowdstrike[.]com |
|
clownstrike[.]co |
|
microsoftcrowdstrike[.]com |
|
crowdfalcon-immed-update[.]com |
|
crowdstuck[.]org |
|
failstrike[.]com |
|
winsstrike[.]com |
|
t[.]me/Crowdstriketoken |
|
crowdstrikebluescreen[.]com |
|
crowdstrike0day[.]com |
|
crowdstrike-bsod[.]com |
|
crowdstrikedoomsday[.]com |
|
crowdstrikefix[.]com |
|
crowdstrikedown[.]site |
|
crowdstriketoken[.]com |
|
fix-crowdstrike-bsod[.]com |
|
80[.]78[.]22[.]84 |
|
crowdstrike-helpdesk[.]com |
|
crowdstrikeupdate[.]com |
|
fix-crowdstrike-bsod[.]com |
Recomendaciones
- Auditar herramientas de acceso remoto.
- Revisar logs para de ejecución de software de acceso remoto.
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad.
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque.
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
- Bloquear los sitios falsos listados
- Validar siempre que los sitios relacionados con CrowdStrike o cualquier otro dominio sean los oficiales
Referencias
- [1] Ilascu, I. (2024, Julio 19) CrowdStrike update crashes Windows systems, causes outages worldwide. Recuperado el 19 de Julio del 2024 en: https://www.bleepingcomputer.com/news/security/crowdstrike-update-crashes-windows-systems-causes-outages-worldwide/
- [2] Kan, M. (2024, Julio 19) Don't Fall for It: Hackers Pounce on CrowdStrike Outage With Phishing Emails. Recuperado el 19 de Julio del 2024 en: https://www.pcmag.com/news/dont-fall-for-it-hackers-pounce-on-crowdstrike-outage-with-phishing-emails
- [3] Lyons, J. (2024, Julio 19) Cyber criminals quickly exploit CrowdStrike chaos Recuperado el 19 de Julio del 2024 en: https://www.theregister.com/2024/07/19/cyber_criminals_quickly_exploit_crowdstrike/
.jpg)
