La lista completa de amenazas de CrowdStrike ha caído en manos de hackers

CrowdStrike, una compañía reconocida como líder en el ámbito de la ciberseguridad, ha sufrido una filtración, de la cual se ha responsabilizado el grupo hacker USDoD. Según los delincuentes, lograron obtener el listado completo de amenazas internas de CrowdStrike, incluidos los indicadores de compromiso (IoC). El documento contiene 250 millones de registros sobre diversas agrupaciones de hackers.

En un blog del 25 de julio de 2024, la compañía confirmó las declaraciones de los hackers. USDoD ha compartido un enlace para descargar la lista de amenazas supuestamente obtenida y ha proporcionado ejemplos de los datos en el conocido foro hacker BreachForums.

La situación surge en medio de un fallo global reciente en los sistemas de TI el 19 de julio, causado por un error en una actualización de contenido para la plataforma CrowdStrike Falcon. Como resultado, se vio gravemente afectado el funcionamiento de sectores clave, incluyendo la aviación, la banca, los medios de comunicación y la salud.

Representantes de CrowdStrike informaron que la muestra publicada por USDoD contiene la siguiente información:

• Alias de los malhechores
• Países de origen
• Descripción de las amenazas
• Fechas de última actividad
• Niveles de credibilidad
• Clasificaciones de amenazas

La compañía también destacó que la información sobre ciberamenazas es accesible de antemano a muchos de sus clientes y socios verificados, así como a posibles contratistas y a cientos de miles de usuarios, pero no está disponible públicamente.

En la muestra de la filtración se incluyen datos con fechas de «última actividad» no posteriores a junio de 2024. Sin embargo, en el sistema Falcon, las últimas fechas de actividad de algunos de los delincuentes mencionados están marcadas en julio de 2024. Esto indica que los sistemas fueron comprometidos muy recientemente.

USDoD también sostiene que han obtenido la lista completa de indicadores de compromiso de CrowdStrike y planean publicarla pronto. Normalmente, estos indicadores ayudan a los especialistas a identificar los métodos utilizados por los hackers durante los ataques.

Además, CrowdStrike señaló que el grupo hacker afirmó tener en su poder «dos grandes bases de datos de una compañía petrolera y una industria farmacéutica (no de EE. UU.)». No está claro si esta declaración está relacionada con la supuesta filtración de datos de CrowdStrike.

Investigadores de seguridad de vx-underground destacaron el post de USDoD en el foro BreachForums, publicando información sobre esto en la red social X (anteriormente conocida como Twitter).

Ellos informaron que habían hablado con USDoD, quienes les dijeron que habían hackeado los puntos finales de CrowdStrike para extraer indicadores de compromiso. Según los hackers, la operación de recopilación de datos duró aproximadamente un mes.

En una entrevista para Infosecurity Magazine , CrowdStrike enfatizó que, incluso si las afirmaciones de los atacantes son ciertas, esto no constituye un hackeo en el sentido clásico de la palabra:

«No hubo un hackeo de CrowdStrike. Estos datos sobre ciberamenazas están disponibles para miles de nuestros clientes y socios».

Según CrowdStrike, el grupo USDoD ha estado activo al menos desde 2020 y lleva a cabo tanto ataques hacktivistas como financieramente motivados. En los últimos dos años, los hackers se han centrado en operaciones dirigidas a infiltrarse en sistemas de grandes compañías, principalmente utilizando métodos de ingeniería social.

Desde enero de 2024, los delincuentes han diversificado su actividad cibernética, pasando de operaciones puramente cibernéticas a la gestión de foros de ciberdelincuentes.

En septiembre de 2023, USDoD declaró haber robado datos personales de la agencia de crédito TransUnion, así como datos de la compañía Airbus ese mismo mes.

CrowdStrike también señala que USDoD tiende a exagerar sus declaraciones, posiblemente buscando aumentar su prestigio en los círculos hacktivistas y del crimen cibernético.

Los expertos recomiendan que las organizaciones fortalezcan las medidas de seguridad y sigan de cerca la evolución de la situación, ya que la filtración de datos sobre ciberamenazas podría dar lugar a nuevos ataques y la explotación de vulnerabilidades.