Ciberdelito, Gestión de fraude y ciberdelito, Respuesta a incidentes y brechas Los piratas informáticos difunden certificados y archivos de recuperación maliciosos Akshaya Asokan (asokan_akshaya) • 25 de julio de 2024 Imagen: Shutterstock La interrupción global de las computadoras del viernes causada por una actualización que salió mal de la empresa de ciberseguridad CrowdStrike sigue atrayendo a charlatanes que buscan sacar provecho del incidente. Ver también: OnDemand | Revisión del año de ciberseguridad OT 2023: lecciones aprendidas en primera línea El autoproclamado grupo hacktivista USDoD parece ser el último en presentar una reclamación, publicando el miércoles en un foro criminal una hoja de cálculo que contiene una «lista completa de actores de amenazas» y prometiendo publicar más tarde «su lista completa de IOC», refiriéndose a los indicadores de compromiso. La empresa de Texas emitió un tono despectivo el jueves, diciendo que «los datos de inteligencia de amenazas señalados en este informe están disponibles para decenas de miles de clientes, socios y prospectos, y cientos de miles de usuarios». La hoja de cálculo de los actores de amenazas tiene fecha de junio, según la empresa. Eso es semanas antes de que CrowdStrike lanzara una actualización con errores a su plataforma antimalware insignia, lo que desencadenó un incidente que ha causado unas pérdidas directas estimadas en 5.400 millones de dólares (véase: Las pérdidas por interrupciones de CrowdStrike afectarán duramente a la sanidad y la banca). El USDoD ha hecho afirmaciones exageradas en el pasado. Los investigadores de malware vx-underground también revisaron los datos filtrados del USDoD, después de encontrarlos disponibles públicamente. Los piratas informáticos comenzaron a explotar el incidente casi de inmediato. En una campaña, utilizaron un nombre de dominio parecido al de CrowdStrike para difundir el ladrón de información Lumma. «El actor de amenazas también aprovechó técnicas avanzadas de ingeniería social, como el uso de inundaciones de spam y phishing de voz (vishing), para entregar binarios maliciosos», dijo CrowdStrike. La empresa descubrió una campaña de phishing que disfrazó una variante de malware nunca antes vista llamada «Daolpu» como un archivo de recuperación de CrowdStrike. En otra campaña, los piratas informáticos atacaron a los clientes de CrowdStrike con sede en América Latina a través de un archivo zip malicioso llamado crowdstrike-hotfix.zip para entregar una carga útil RemCos HijackLoader, dijo la empresa la semana pasada. CrowdStrike reiteró esta semana que sus clientes solo deben usar canales oficiales para comunicarse con la empresa para cualquier trabajo de restauración del sistema. También instó a sus clientes a verificar la legitimidad de los certificados de CrowdStrike mientras descargan herramientas de recuperación. El lunes, James Spiteri, gerente principal de marketing de productos de la empresa de seguridad Elastic, dijo que se han generado al menos 141 certificados utilizando dominios falsos de CrowdStrike. Dado que la mayoría de los servicios afectados están nuevamente en línea, los expertos dicen que el incidente es un recordatorio para que las organizaciones prioricen tener planes de continuidad comercial sólidos. URL de la publicación original: https://www.databreachtoday.com/cybercrooks-continue-to-capitalize-on-crowdstrike-outage-a-25853