Novedades
CrowdStrike Intelligence advirtió que los actores de amenazas utilizaron rápidamente la interrupción de TI, causada por un error en una actualización de contenido para la herramienta de ciberseguridad CrowdStrike Falcon, para hacerse pasar por fuentes legítimas de ayuda para las empresas afectadas.
Se ha identificado que los ciberdelincuentes envían correos electrónicos de phishing que pretenden ser soporte de CrowdStrike e impersonan al personal de CrowdStrike en llamadas telefónicas.
En otras campañas, los actores de amenazas se han hecho pasar por investigadores independientes, afirmando tener pruebas de que el problema técnico está vinculado a un ciberataque y ofreciendo soluciones de remedio.
También se ha observado a los atacantes vendiendo soluciones de remedio, como scripts que supuestamente automatizan la recuperación del problema de la actualización de contenido. En un ejemplo destacado por CrowdStrike, los actores de amenazas han estado distribuyendo un archivo ZIP malicioso llamado crowdstrike-hotfix.zip, que afirman ser una utilidad para automatizar la recuperación del problema de la actualización de contenido.
Este archivo ZIP contiene un cargador de malware HijackLoader, que al ejecutarse, carga el malware RemCos.
CrowdStrike proporcionó una lista de dominios identificados que hacen pasar por la marca, los cuales actualmente están sirviendo como sitios maliciosos para redirigir a las víctimas desde enlaces de phishing, o podrían usarse para ello en el futuro.
La firma de ciberseguridad KnowBe4 también observó el desarrollo de numerosos dominios nuevos vinculados a CrowdStrike en "tiempo récord". Estos incluyen nombres como crowdstriketoken[.]com, crowdstrikedown[.]site y crowdstrikefix[.]com.
El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) también reportó un aumento en los ataques de phishing haciendo referencia a la interrupción inmediatamente después del incidente.
Se recomienda a los clientes afectados asegurarse de comunicarse con representantes de CrowdStrike a través de canales oficiales y seguir las orientaciones técnicas de los equipos de soporte de CrowdStrike.
La interrupción global de TI continúa, con soluciones de remedio disponibles.
La nube está sustituyendo rápidamente a los tradicionales data center locales, sin embargo, se depende mucho más de los proveedores de la nube para gestionar la seguridad de su hardware y sus datos. Aun así, debido al modelo de responsabilidad compartida en la computación en nube, no se puede externalizar completamente la gestión de la seguridad a los proveedores.
Postear sin precaución o dar un mal clic hoy en día puede salir más costoso de lo que creemos.
La popular aplicación de mensajería instantánea WhatsApp anunció una nueva función de verificación de cuentas que garantiza que el malware que se ejecuta en el dispositivo móvil de un usuario no afecte a su cuenta.
Comencemos el año nuevo con una limpieza digital: cancelemos suscripciones innecesarias, eliminemos datos innecesarios y cuentas sin utilizar, cambiemos contraseñas poco seguras, entre otras cosas.
El grupo Lazarus lanzo una variante del ransomware MACROMATA. Conoce el análisis del S.O.C. de RAN Security sobre esta amenaza.
Durante el último año hemos vivido una acelerada digitalización que ha facilitado realizar actividades desde casa que antes estaban limitadas al ámbito presencial. Esta transformación tecnológica también ha sido aprovechada por los cibercriminales, quienes saben que los teléfonos móviles son blanco perfecto para el robo de identidad y el fraude, pues en ellos almacenamos todo tipo de información. Además, es cada vez más común que diversos servicios nos pidan vincular nuestros números telefónicos para autenticar accesos y dar así más seguridad a nuestra información.