Veneno en lugar de medicina: los hackers aprovechan el fallo de CrowdStrike para un nuevo ataque

CrowdStrike, la empresa responsable de la reciente interrupción global de los sistemas de TI debido a una actualización problemática del Falcon Sensor, ahora advierte que numerosos atacantes están aprovechando la situación para propagar el virus Remcos RAT entre los clientes de la empresa en América Latina.

Los atacantes están distribuyendo activamente un archivo ZIP llamado «crowdstrike-hotfix.zip», que supuestamente debería reparar los ordenadores afectados. Sin embargo, en realidad, el archivo contiene un cargador malicioso llamado Hijack Loader (también conocido como DOILoader o IDAT Loader), que a su vez descarga y ejecuta el malware Remcos RAT, empeorando aún más la ya lamentable situación de los ordenadores que no funcionan.

El archivo también incluye un archivo de texto («instrucciones.txt») con instrucciones en español, que insta a los usuarios a ejecutar un archivo ejecutable («setup.exe») para solucionar el problema. Los expertos de CrowdStrike informan que los nombres de archivos en español y las instrucciones en el archivo indican claramente que esta campaña maliciosa está dirigida a los clientes de CrowdStrike en América Latina.

Para aquellos que se perdieron los eventos de la semana pasada, un breve recordatorio: el viernes 19 de julio, una actualización de configuración lanzada para la plataforma CrowdStrike Falcon causó un error lógico en los dispositivos Windows, lo que ocasionó la aparición masiva de la «pantalla azul de la muerte» (BSoD). El incidente afectó a millones de ordenadores físicos y máquinas virtuales en decenas de países de todo el mundo.

Los atacantes aprovecharon rápidamente el caos resultante, creando decenas de dominios falsos que imitan a CrowdStrike y ofreciendo sus «servicios» a las empresas afectadas a cambio de criptomonedas.

Se recomienda a todos los clientes de Windows afectados por la interrupción que se aseguren de que están comunicándose con representantes reales de CrowdStrike a través de canales oficiales y que sigan las recomendaciones técnicas proporcionadas por el verdadero servicio de soporte.

Microsoft, que está colaborando activamente con CrowdStrike para mitigar las consecuencias del incidente, informó anteriormente que la interrupción digital afectó a 8,5 millones de dispositivos en todo el mundo. Aunque esto representa menos del uno por ciento de todos los dispositivos Windows, sigue siendo un número alarmantemente alto.

«Este incidente demuestra la interconexión de nuestro amplio ecosistema: proveedores globales de servicios en la nube, plataformas de software, proveedores de seguridad y otros proveedores de software, así como clientes comunes», declaró Microsoft. «También es un recordatorio de la importancia de priorizar la implementación segura y la recuperación ante desastres utilizando los mecanismos de software existentes».

Además, el 20 de julio, Microsoft lanzó su propia herramienta de recuperación para ayudar a los administradores de TI a restaurar más rápidamente los dispositivos afectados. Por su parte, CrowdStrike ha reunido rápidamente todas las recomendaciones y guías de recuperación necesarias en un solo lugar.