Aviso sobre amenazas de ciberseguridad:
Share
Actualizaciones Falsas de CrowdStrike.
Los atacantes están aprovechando la reciente interrupción de la actualización de software de CrowdStrike para atacar a las empresas con una actualización falsa que inyecta Malware, incluidos limpiadores de datos y herramientas de acceso remoto. Se están utilizando correos electrónicos de Phishing para distribuir estos programas maliciosos bajo la apariencia de actualizaciones oficiales de CrowdStrike, aprovechándose de las empresas que buscan ayuda para reparar los hosts de Windows afectados.
¿Cuál es la amenaza?
Los cibercriminales están aprovechando la confusión y la urgencia creadas por los recientes acontecimientos para difundir Malware. Se han lanzado campañas de Phishing que se hacen pasar por CrowdStrike, ofreciendo parches falsos que instalan Malware. Se han lanzado campañas de Phishing que se hacen pasar por CrowdStrike, ofreciendo parches falsos que instalan Malware como Remcos RAT y HijackLoader. Una campaña se dirigió específicamente a los clientes del banco BBVA con un sitio de Phishing que se hacia pasar por un portal de intranet de BBVA, distribuyendo un Hotfix falso de CrowdStrike. Otra campaña, reivindicada por el grupo hacktivista proiraní Handala, utilizo correos electrónicos del dominio “crowdstrike.com.vc” para enviar un borrado de datos camuflado en una actualización. Este borrado de datos sobreescribe los archivos del sistema con cero bytes, destruyendo efectivamente los datos, y notifica la acción a través de Telegram. Estas amenazas explotan la urgencia de las empresas por restaurar sus sistemas, lo que aumenta la probabilidad de infecciones exitosas.
¿Por qué es de relevancia?
Esta situación es digna de mención porque explota un problema relacionado con un proveedor de ciberseguridad confiable, lo que aumenta la probabilidad de que los ataques de Phishing tengan éxito. El impacto generalizado en numerosas organizaciones crea un entorno fértil para que los cibercriminales engañen a las víctimas. Además, la explotación de un incidente destacado resalta la necesidad de que las organizaciones cuenten con procesos de verificación solidos para las actualizaciones y las comunicaciones de los proveedores de servicios.
¿Cuál es el riesgo?
Las organizaciones afectadas por la actualización inicial de CrowdStrike corren el riesgo de sufrir más interrupciones a causa de estas campañas maliciosas. El borrado de datos puede provocar una pérdida importante de datos, lo que provoca tiempo de inactividad operativa y posibles filtraciones de datos. Las herramientas de acceso remoto como Remcos RAT permiten a los atacantes obtener control no autorizado sobre los sistemas infectados, lo que plantea riesgos de espionaje, instalación de Malware adicional y robo de datos.
Recomendaciones
Se recomienda realizar las siguientes acciones para mitigar el impacto de este ataque:
- Informar a los empleados sobre la amenaza actual y aplicar políticas estrictas en relación con las actualizaciones de software y los archivos adjuntos en los correos electrónicos.
- Confirmar la autenticidad de las comunicaciones a través de los canales oficiales antes de tomar cualquier medida.
- Tener un plan de respuesta a incidentes solido listo para abordar rápidamente posibles infecciones o perdidas de datos.
- Realice copias de seguridad periódicas de los datos críticos y asegúrese de que las copias de seguridad se almacenen de forma segura y se pueden restaurar rápidamente.
- Implemente herramientas de seguridad avanzadas que puedan detectar y bloquear intentos de Phishing y Malware.
- Manténgase informado de las actualizaciones y otros avisos de seguridad para estar al tanto de las ultimas amenazas y estrategias de mitigación.
Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:
- Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
- Teléfono: +52(55)5599-0691
- Correo de contacto: ventas@cobranetworks.lat
JR