Mientras continúan los esfuerzos globales para recuperarse y aprender del incidente de CrowdStrike del viernes 19 de julio, los cibercriminales y estafadores están al acecho, como era previsible, al margen del discurso, eligiendo a víctimas desprevenidas, con el apoyo de más de 100.000 dominios maliciosos recientemente creados asociados con la marca CrowdStrike. Así lo afirma el especialista en seguridad web Akamai, que afirmó que sus investigadores han identificado más de 180 dominios de este tipo (el número real probablemente sea mayor), incluido uno que se clasificó entre los 200.000 sitios principales por palabras clave asociadas. Los principales sectores a los que apuntan estos sitios web parecen ser las organizaciones benéficas y sin fines de lucro, y los proveedores de educación, que suelen ser el objetivo principal de los actores maliciosos, ya que es comparativamente menos probable que hayan implementado, o puedan permitirse en muchos casos, una capacitación adecuada en ciberseguridad o medidas defensivas. En un artículo publicado en el sitio web de la empresa, Tricia Howard, de Akamai, afirmó que, como suele ocurrir con los acontecimientos de interés periodístico, los actores de amenazas habían intentado inmediatamente explotar la situación y el alcance y el impacto del incidente de CrowdStrike, que provocó que millones de dispositivos Windows se volvieran azules y provocó que los usuarios desconcertados (muchos de ellos sin conocimientos de TI o seguridad) buscaran respuestas donde pudieran encontrarlas, lo que los expuso a un gran riesgo de ingeniería social. Los equipos de Akamai analizaron grandes cantidades de datos extraídos de su red global de borde para identificar los principales dominios maliciosos utilizados para las estafas del incidente de CrowdStrike y otros exploits, incluida la distribución de malware de borrado y robo de información y troyanos de acceso remoto (RAT). Los dominios más utilizados aprovecharon la marca de CrowdStrike en algún grado, y muchos pretendían ofrecer información o soluciones al incidente. Entre ellos se encontraban dominios como crowdstrike-bsod.com, crowdstrikefix.com, crowdstrike-helpdesk.com, microsoftcrowdstrike.com y crowdstrikeupdate.com. Un dominio observado incluso parecía explotar la familia de sitios web WhatIs, propiedad y operados por la empresa matriz de Computer Weekly, TechTarget, utilizando whatiscrowdstrike.com. Según Howard, la mayoría de los dominios que Akamai descubrió llevan el dominio de nivel superior (TLD) .com, lo que les otorga una autoridad sutil, y desplegaban palabras clave comunes como helpdesk o update que probablemente estén siendo utilizadas con frecuencia por personas que buscan información. De esa manera, sus patrocinadores pueden fingir legitimidad al pretender ofrecer, por ejemplo, soporte técnico o legal. «Si se vio afectado por la interrupción y está buscando información, le recomendamos que consulte fuentes creíbles como CrowdStrike o Microsoft. “Aunque otros medios puedan parecer tener información más actualizada, puede que no sea precisa, o peor aún, el sitio puede tener un propósito maligno”, escribió Howard. “Es probable que veamos más intentos de phishing asociados con este problema más allá del momento en que se reparen todos los dispositivos. Un simple desplazamiento por las redes sociales puede proporcionar a un atacante una idea de qué marcas generan las emociones más intensas y cuáles son las más propicias para hacerse pasar por ellas con fines maliciosos. “Este es el trabajo de un atacante y es importante recordarlo. Las operaciones de campaña maliciosas funcionan igual que lo hacemos en las corporaciones legítimas: las víctimas son sus ‘clientes’, y las diversas tácticas presentadas en este artículo muestran lo ‘conectados’ que están con sus clientes. Saben cómo diversificar eficazmente su cartera para asegurarse de terminar con dinero en el banco”, dijo. Infraestructura resistente y convincente Para reforzar el punto y demostrar lo difícil que puede ser para las personas identificar sitios web sospechosos en medio del ruido de una búsqueda web estándar, Howard explicó que estas campañas de phishing a menudo demuestran una infraestructura notablemente resistente, orquestada por «profesionales» con habilidades que en algunos casos rivalizan con las que se encuentran en una empresa. Muchos de los sitios fraudulentos también incluirán medidas bastante estándar que las personas estarán acostumbradas a ver en dominios seguros, como la validación SSL. Otros incluso pueden redirigir en algún momento al sitio web real de CrowdStrike. Las campañas más sofisticadas incluso tendrán mecanismos de conmutación por error y ofuscación integrados, y sus patrocinadores pueden cambiar rápidamente su apariencia. Además, el equipo de Akamai cree que al menos uno de los dominios observados que explotan CrowdStrike parece ser parte de una gran red de phishing. Este sitio, rastreado como crowdstrikeclaim.com, se destacó para los investigadores por su explotación no solo de CrowdStrike, sino de un bufete de abogados genuino de Nueva York que ha estado involucrado en demandas colectivas en la vida real. El dominio contenía una ID de Facebook incrustada que se sabía que era maliciosa, que en un momento se vinculaba a covid19-business-help.qualified-case.com, un sitio malicioso que se aprovechaba de los programas de ayuda del gobierno de EE. UU. durante la pandemia. Ese sitio web, a su vez, contiene otra ID de Facebook incrustada que enlaza a otros 40 sitios maliciosos. Mitigación del phishing Para las personas comunes que puedan encontrarse en una página vinculada a CrowdStrike, el consejo de Akamai es verificar una serie de indicadores de mala intención. Esto puede incluir buscar el certificado y el emisor del dominio al acceder a través de HTTPS; evitar cualquier dominio que solicite información confidencial, como detalles de la tarjeta de crédito; e ignorar y eliminar cualquier correo electrónico que diga ofrecer ayuda. Sin embargo, la solución más efectiva sigue siendo solo seguir los consejos y los pasos de remediación del propio CrowdStrike. Los profesionales de seguridad y los administradores de TI también pueden tomar medidas adicionales, incluido el bloqueo de los indicadores de compromiso (IoC) conocidos y relacionados (la lista de Akamai está disponible ahora en GitHub) y realizar un análisis de brecha de movimiento lateral o emulación de adversario. Howard señaló que los cibercriminales con motivaciones económicas buscarán cualquier oportunidad para lanzar ransomware y, aunque el incidente de CrowdStrike no está vinculado a una vulnerabilidad de día cero, señaló que aún existen posibles formas de entrar para un atacante que ahora sabe qué tecnología, es decir, CrowdStrike, está utilizando su víctima potencial en su pila cibernética. “Esto podría volverse relevante en el caso de que se descubra un futuro CVE dentro del producto Falcon. Los atacantes se están volviendo cada vez más sofisticados, y cada pieza adicional del rompecabezas de la pila tecnológica que tienen hace que ese rompecabezas sea más fácil de resolver”, advirtió.
