Esta campaña probablemente esté dirigida a clientes de CrowdStrike con sede en América Latina
La empresa de ciberseguridad CrowdStrike, que se enfrenta a una gran presión por causar interrupciones de TI en todo el mundo al lanzar una actualización defectuosa para dispositivos Windows, advierte ahora que los actores de amenazas están explotando la situación para distribuir Remcos RAT a sus clientes en América Latina con el pretexto de proporcionar una solución.
Las cadenas de ataque implican la distribución de un archivo ZIP llamado "crowdstrike-hotfix.zip", que contiene un cargador de malware llamado Hijack Loader (también conocido como DOILoader o IDAT Loader) que, a su vez, lanza la carga útil Remcos RAT.
Específicamente, el archivo de almacenamiento también incluye un archivo de texto ("instrucciones.txt") con instrucciones en español que insta a los objetivos a ejecutar un archivo ejecutable ("setup.exe") para recuperarse del problema.
"En particular, los nombres de archivos en español y las instrucciones dentro del archivo ZIP indican que esta campaña probablemente esté dirigida a clientes de CrowdStrike con sede en América Latina (LATAM)", dijo la compañía, atribuyendo la campaña a un presunto grupo de delitos electrónicos.
El viernes, CrowdStrike reconoció que una actualización rutinaria de la configuración del sensor enviada a su plataforma Falcon para dispositivos Windows el 19 de julio a las 04:09 UTC desencadenó inadvertidamente un error lógico que resultó en una pantalla azul de la muerte (BSoD), dejando inoperables numerosos sistemas y haciendo que las empresas cayesen en picado.
El evento afectó a los clientes que ejecutaban el sensor Falcon para Windows versión 7.11 y superior, que estaban en línea entre las 04:09 y las 05:27 a. m. UTC.
Los actores maliciosos no han perdido el tiempo aprovechando el caos creado por el evento para crear dominios con errores tipográficos que se hacen pasar por CrowdStrike y anunciar servicios a las empresas afectadas por el problema a cambio de un pago en criptomonedas.
Se recomienda a los clientes afectados que "se aseguren de comunicarse con los representantes de CrowdStrike a través de canales oficiales y cumplan con la orientación técnica que han brindado los equipos de soporte de CrowdStrike".
Microsoft, que ha estado colaborando con CrowdStrike en los esfuerzos de remediación, dijo que la crisis digital paralizó 8,5 millones de dispositivos Windows en todo el mundo, o menos del uno por ciento de todas las máquinas con Windows.
Este acontecimiento, que una vez más ha puesto de relieve los riesgos asociados con la dependencia de cadenas de suministro monoculturales, marca la primera vez que se hace público oficialmente el verdadero impacto y escala de lo que probablemente será el evento cibernético más disruptivo de la historia. Los dispositivos Mac y Linux no se vieron afectados por la interrupción.
"Este incidente demuestra la naturaleza interconectada de nuestro amplio ecosistema: proveedores globales de nube, plataformas de software, proveedores de seguridad y otros proveedores de software, y clientes", dijo el gigante tecnológico. "También es un recordatorio de lo importante que es para todos nosotros en el ecosistema tecnológico priorizar la operación con una implementación segura y recuperación ante desastres utilizando los mecanismos que existen".
Microsoft ha puesto a disposición una nueva herramienta de recuperación para ayudar a los administradores de TI a reparar máquinas con Windows que se vieron afectadas por la actualización defectuosa de CrowdStrike que bloqueó 8,5 millones de dispositivos con Windows.
CrowdStrike también ha publicado un nuevo Centro de orientación y remediación que sirve como una ventanilla única para todos los detalles relacionados con el incidente, enumerando formas de identificar los hosts afectados y repararlos, incluidos aquellos que han sido cifrados con BitLocker.
La medida se produce cuando han surgido informes sobre actualizaciones de CrowdStrike que provocaron que todos los servidores Debian Linux en un laboratorio de tecnología cívica sin nombre fallaran simultáneamente y se negaran a arrancar, además de provocar pánicos en el kernel en las distribuciones Red Hat y Rocky Linux.
