Por Paloma Vega
El viernes pasado, un caos informático producido por una actualización de software defectuosa de la firma CrowdStrike colapsó los sistemas de aerolíneas, hospitales, servicios de emergencia, tiendas y bancos, lo que a su vez provocó afectaciones para miles de personas alrededor del mundo.
La actualización para el sensor Falcon, destinada a sistemas operativos Windows tenían un error lógico que generaba la aparición de la pantalla azul en cientos de computadoras. Después de que la empresa con oficinas centrales en Texas descubriera el error, aislaron el problema y esclarecieron que esto no se trataba de “un incidente de seguridad o ciberataque”.
Sin embargo, este error dejo grandes estragos para diferentes empresas que hasta ahora siguen recuperándose. De acuerdo con Microsoft, se estima que este error afectó a 8.5 millones de dispositivos con el sistema operativo Windows, que es menos del 1% de equipos.
“Aunque el porcentaje es pequeño, los amplios impactos económicos y sociales reflejan el uso de CrowdStrike por empresas que gestionan muchos servicios críticos”, señaló David Weston, vicepresidente de seguridad de sistemas operativos y empresas de Microsoft en un blog corporativo.
Además del caos que generó, abrió la puerta a ciberdelincuentes quienes han aprovechado el problema para atacar los equipos de empresas e individuos para infectarlos de malware.
Ciberdelincuentes aprovechan caos de CrowdStrike para infectar equipos
George Kurtz, CEO de CrowdStrike advirtió a empresas e individuos sobre las posibles estafas generadas ante el fallo ocurrido el viernes. De acuerdo con el representante de la firma, piratas informáticos se han hecho pasar por empleados de CrowdStrike u otros especialistas para ingresar a la computadora de los usuarios.
Los ciberdelincuentes ofrecen asistencia para recuperar computadoras afectadas. De acuerdo con CrowdStrike Intelligence, se han identificado correos de phishing, ofreciendo soluciones técnicas de scripts que pretenden automatizar la recuperación del problema de actualización de contenido.
De acuerdo con el medio Infosecurity Magazine, se ha distribuido un archivo ZIP malicioso llamado crowdstrike-hotfix.zip, el cual supuestamente puede automatizar la recuperación del equipo. Sin embargo, dicho archivo contiene un cargador útil llamado HijackLoader, el cual carga un malware llamado RemCos cuando se ejecuta.
La firma de ciberseguridad, KnowBe4, también señaló que hay varios dominios nuevos vinculados a CrowdStrike, con nombres como crowdstriketoken[.]com, crowdstrikedown[.]site y crowdstrikefix[.]com, los cuales también pueden llegar a infectar a los equipos de las personas afectadas.
“Sabemos que los adversarios y otros usuarios malintencionados intentarán explotar acontecimientos como este”, advierte Kurtz e invita a todos los afectados a “mantenerse vigilantes y asegurarse de que están interactuando con representantes oficiales de CrowdStrike”.
Microsoft lanza herramienta de recuperación
Para evitar las estafas que ha generado el caos informático de CrowdStrike, Microsoft lanzó una herramienta de recuperación destinada a los clientes Windows, la cual automatiza muchos de los pasos necesarios para reparar los sistemas afectados.
Los usuarios que deseen acceder a ella, tendrán que seguir estos pasos:
Descarga la herramienta de recuperación desde el Centro de descarga de Microsoft.
Extrae el script de PowerShell de la solución descargada.
Extrae MsftRecoveryToolForCSv2.ps1 desde el sistema de PowerShell.
De forma automática se descargará el ADK y comenzará la creación de medios.
Elige una de las dos opciones mencionadas para recuperar los dispositivos afectados.
Opcionalmente, selecciona un directorio que contenga archivos de controladores para importar a la imagen de recuperación. Es posible que se necesiten controladores de teclado y de almacenamiento masivo. No se requieren controladores de red ni de otro tipo. Se recomienda seleccionar “N” para omitir este paso. La herramienta importará cualquier SYS e INI de forma recursiva en el directorio especificado.
Selecciona la opción para generar una unidad ISO o USB y especifica la letra de la unidad.