Apagón mundial, una oportunidad para los ciberdelincuentes

El apagón informático del pasado viernes no solo ha expuesto la debilidad de las infraestructuras tecnológicas de las que dependen numerosas empresas y sectores. Además, el incidente que tuvo como protagonistas a Microsoft y CrowdStrike resalta la importancia de tener a mano información precisa y crear conciencia para evitar los peligros del fraude digital, incluyendo la suplantación de identidad.

¿Qué fue lo que pasó?

A primera hora del viernes 19 de julio, muchos sectores se vieron afectados por una actualización defectuosa de los controladores asociados con Falcon Sensor, la solución EDR de CrowdStrike. ¿El resultado?  provocó interrupciones generalizadas que afectaron a numerosos sistemas Windows en todo el mundo, afectando tanto a servidores como a estaciones de trabajo.

CrowdStrike identificó el problema y brindó información a través de su blog, actualizando el estado constantemente. Es importante destacar este punto, ya que nos indica la importancia de consultar siempre en las fuentes oficiales. En este caso, tomar contacto directo con el equipo de CrowdStrike.

¿Cómo los ciberdelincuentes aprovecharon el contexto?

El oportunismo no faltó en ese contexto. Si bien el apagón no fue provocado por un ciberataque, sino por el mencionado defecto en la actualización de un software de seguridad, los ciberdelincuentes aprovecharon el contexto y la confusión para realizar campañas de phishing dirigidas a los clientes de CrowdStrike afectados.

BeyGoo identificó al menos 727 dominios que los ciberdelincuentes crearon para la difusión de programas maliciosos y otros objetivos. Los atacantes se hacían pasar por personal de CrowdStrike, ofreciendo supuesta información para solucionar el problema, a través de la venta de scripts para la restauración de los sistemas. También circulaban manuales de reparación falsos que instalan un malware de robo de información denominado Daolpu.

Daolpu es un tipo de malware conocido como infostealer y de los que venimos informando desde hace tiempo. Generalmente se distribuye dentro de un crack, y cuando este es descargado y ejecutado, comienza a recopilar información del dispositivo infectado, como nombres de perfil, contraseñas, datos financieros, etc. Si bien esto afecta directamente a los usuarios, los ciberdelincuentes pueden acceder a las credenciales de acceso a los servicios de la empresa en la que trabaja la víctima.

Es importante aclarar que no todos los dominios fraudulentos utilizados fueron creados a partir de este incidente. Esto indica que las campañas de phishing se han estado llevando a cabo desde hace tiempo, remarcando la importancia del monitoreo constante y proactivo.

Suplantación de identidad en RRSS

Los ciberdelincuentes suelen registrar cuentas en redes sociales con el objetivo de engañar y concretar fraudes. Uno de los métodos más comunes es la suplantación de identidad.

Durante el reciente apagón, detectamos múltiples casos en los que los atacantes se hicieron pasar por representantes oficiales de empresas tecnológicas en plataformas como Instagram, ofreciendo supuestas soluciones o actualizaciones para resolver el problema. Estas técnicas no solo engañan a los usuarios, sino que también pueden conducir a la instalación de malware o al robo de información personal.

Método PICO

Hay una serie de constantes que se repiten en los intentos de estafas, incluyendo phishing. En BeyGoo nos referimos a este método de identificación con las siglas PICO, que hacen referencia a los siguientes aspectos:

PRETEXTO: Nos contactarán con un pretexto que llamará mucho la atención (ofertas, premios, subsidios, etc.). En este caso, por ejemplo, haciéndose pasar por el soporte oficial para remediar la falla derivada de la actualización defectuosa.
IMPOSTOR: Se presentan como una empresa u organismo reconocido.
CONTEXTO: Se aprovechan de una situación específica; en este caso, de gran visibilidad y alcance mundial.
OPORTUNIDAD: Ofrecen una oportunidad "única" e "increíble", con urgencia y tiempo limitado. En el contexto del apagón, la oportunidad se fusionó con la promesa de una solución.
Recordar las siglas PICO nos permite estar más atentos a este tipo de ataques que toman provecho de contextos específicos. Tanto para los particulares como para las empresas, crear conciencia es muy importante, sin dudas es uno de los caminos más propicios para la protección proactiva de riesgos digitales.

La importancia de ser proactivos

Ser proactivos es crucial para protegerse de los ciberataques. Es imprescindible contar con herramientas, como las que ofrecemos en BeyGoo, para la detección proactiva de phishing. Nuestra plataforma de protección de riesgos digitales utiliza inteligencia artificial y procesos automatizados para monitorear los activos digitales de las empresas y los usuarios, garantizando que estén un paso adelante frente a los ciberdelincuentes.

Fuente: landings.beygoo.io/