CrowdStrike: post-mortem del crash que derrumbó a una parte del mundo online
Todo lo que se sabe del update que volteó 8.5 millones de equipos con Windows, publican datos de la Municipalidad de Santa Rosa y LockBit hace una alianza con Play Ransomware.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
19>26
jul
⚡ TL;DR
Se cumple una semana del crasheo de CrowdStrike que causó un apagón en diversas industrias en todo el mundo. Y a pesar de que el fallo afectó sólo un 1 por ciento de los equipos con Windows del mundo, titulares, diarios y noticieros no hablaron de otra cosa durante un par de días: el pantallazo azul de la muerte.
La noticia ocurrió durante las primeras horas del viernes pasado, cuando en este lado del globo estaba arrancando el día laboral y, como un castillo de naipes, comenzaron a colapsar distintos sectores productivos de peso como el aeronáutico y el bancario. Aunque en Argentina se sintió poco, todos se preguntan qué pasó: en esta publicación, una autopsia digital con la información oficial que se conoce hasta el día de hoy, 26 de julio de 2024, junto con las consecuencias del evento.
Además, en el plano global, fue una semana de varias detenciones en la órbita del ciberdelito organizado. En EE.UU., sancionaron a dos ciudadanos rusos por apuntar a infraestructura crítica. Rusia arrestó al developer de Trickbot. Reino Unido detuvo a un sospechoso que sería parte de Scattered Spider, el grupo que atacó a la cadena hotelera MGM en septiembre de 2023, la NCA (también Reino Unido) dio de baja un sitio de de DDoS como servicio en una operación conocida como “Power Off” y dos ciudadanos rusos se declararon culpables de ser parte de LockBit, uno de los grupos cibercriminales más icónicos de la escena.
Hablando de LockBit, el grupo anunció una alianza junto a Play, otra prolífica organización de ransomware. Junto a ALPHV (Black Cat), los tres supieron capitalizar la gran mayoría de las víctimas de los últimos años. A principios de mes crucé este informe de Cisco Talos, donde se analizaba la actividad de 14 grupos de ransomware entre 2023 y 2024. Seguramente el mapa se vaya reconfigurando, sobre todo después de lo que fue Operación Cronos y el takedown de la infraestructura de Black Cat.
También se encontró un nuevo malware que apunta a sistemas industriales, detectado por primera vez en enero de este año: FrostyGroup, apunta a ICS y afectó el sistema de calentamiento de agua de una ciudad en Ucrania.
Dos noticias importantes en el reino de las que mueven el amperímetro Big Tech, en este caso, de Google: por un lado, la empresa anunció que dejará de dar soporte a su acortador de links Gogole.gl y toda url que haya sido manejada por este servicio dará error luego del 25 de agosto de 2025. Y por el otro, publicó una actualización sobre las cookies de terceros: todavía no van a eliminarlas de Chrome.
A nivel local no hubo muchas novedades en el terreno de lo públicamente conocido. El grupo de ransomware Hunters International posteó información de la Municipalidad de Santa Rosa (La Pampa). Y el Gobierno de la Provincia de Buenos Aires le aplicó una multa de 194 millones de dólares a Worldcoin, empresa de Sam Altman que se popularizó por escanear el iris para el proceso de autenticación. En mayo de este año hablé con Alex Blania, CEO de Tools for Humanity, empresa que maneja este proyecto. Y le consulté por la escasa regulación en América Latina sobre datos personales, una ventana que la empresa está aprovechando.
Y hablando de privacidad, Chile votó una ley de datos personales que ahora deberá ser aprobada por las dos cámaras parlamentarias. De votarse de manera favorable, quedaría sancionada la normativa, que podría ser un avance para el país (que ya tiene la primera ley de ciberseguridad de América Latina) y la región.
Dejo dos perlas de la semana: KnowBe4 contó cómo un hacker norcoreano logró ser contratado por la compañía, infiltrarse y depositar malware. Y 404 reportó sobre un robotito DDoS que tumba dispositivos IoT.
AVISO IMPORTANTE: En dos semanas viajo a Las Vegas a cubrir DEF CON 32 y Black Hat USA.
Con el apoyo económico de los sponsors que ven en estas entregas, decidí volver, como el año pasado, a las dos conferencias de hackers más grandes del mundo, con particular foco en exposiciones de argentinos. Separé algunas investigaciones que me parecieron interesantes, como este reporte sobre sitios de apuestas que patrocinan a la Premier League en Inglaterra y tienen un único proveedor chino.
Si sos un researcher de América Latina o conocés alguien que presente un trabajo, podés responderme a este correo para sumarlo a la cobertura.
Dark News #92
Leer este correo te va a llevar 15 minutos.
Con años de experiencia en diagnóstico y solución de problemas IT, Buanzo Consulting trabaja en la detección temprana de vulnerabilidades y fallos en redes. Con experiencia en el mundo del código abierto y la innovación, ofrece consultoría orientada a soluciones precisas y personalizadas, asegurando que los proyectos no sólo sobrevivan, sino que prosperen.
👨🏻⚕️ CrowdStrike post-mortem: qué se sabe y qué consecuencias tiene hoy el crash
Microsoft confirmó que la cantidad de equipos afectados por una mala configuración de una actualización del software de seguridad CrowdStrike fue de 8.5 millones de equipos, cerca de un 1 por ciento de los equipos con Windows en el mundo.
Una de las claves para entender lo que pasó está sugerida en el informe oficial de la empresa con sede en Redmond: “Mientras que las actualizaciones de software pueden ocasionar interrupciones en los sistemas, incidentes como este de CrowdStrike son poco frecuentes”.
El primer punto a tener en cuenta es que el negocio de CrowdStrike apunta al mundo corporativo: Falcon, su Endpoint Detection and Response (EDR), se encuentra presente en múltiples empresas y dependencias de Gobierno de Estados Unidos.
Debido a este perfil empresarial, el impacto se sintió en sistemas críticos de la economía global. Aeropuertos, bancos, hospitales, sistemas de emergencia como el 911, cajeros automáticos, barcos y trenes, Wall Street y hasta el equipo de F1 de Mercedes vieron sus servicios interrumpidos con la peor pesadilla de cualquier IT: un loop entre pantallazo azul (BSOD) y el sistema de recovery de Windows. También hubo daños colaterales como los equipos cloud de Windows 365.
Por la naturaleza del incidente, el impacto se sintió de distintas maneras según cada país: si bien EE.UU. fue el que más recibió el golpe, en Argentina por ejemplo algún puñado de compañías que contratan el servicio de CrowdStrike llevaron a que se vean pantallazos azules en aeropuertos y bancos. Compañías que trabajan con terceros que usan el servicio también tuvieron dificultades para operar con diversos clientes, como Globant.
Ahora bien: ¿qué pasó y por qué arreglarlo fue (o es) un dolor de cabeza tan grande? Durante las primeras horas de Latam del viernes pasado CrowdStrike lanzó una actualización con un error que causó este crash que impedía que los equipos iniciaran correctamente.
En un informe post-mortem, CrowdStrike explicó la razón técnica: se trató de una falla en lo que la empresa llama un “channel file update”, que son archivos específicos que actualizan el cliente de Falcon, el EDR propiamente dicho -no en el userland-. Explica CrowdStrike:
Los channel files forman parte de los mecanismos de protección del comportamiento utilizados por el sensor Falcon. Estas actualizaciones son una parte normal del funcionamiento del sensor y se producen varias veces al día en respuesta a nuevas tácticas, técnicas y procedimientos descubiertos por CrowdStrike. No se trata de un proceso nuevo: la arquitectura ha estado en funcionamiento desde la creación de Falcon.
En este caso, el error estuvo en un archivo C-00000291*[.]sys, “Channel File 291”. Este archivo estaba destinado a detectar malware orientado a abusar los named pipes, una técnica de explotación de sistemas novedosa. Como Falcon es un EDR top notch, este tipo de procesos ocurren de manera permanente: actualizaciones para estar por delante de los “adversarios”, en la propia narrativa de la compañía.
CrowdStrike destacó en el reporte que si bien los channel files terminan en extensión .sys, no son drivers del kernel. Y esta aclaración es importante porque toda la discusión giró en torno a actualizaciones automáticas en bajo nivel: por la naturaleza misma de los EDR y antivirus, los updates tienen que operar lo más cerca del núcleo del sistema operativo posible, para evitar que una amenaza pueda instalarse durante el arranque del sistema operativo o durante la carga de las aplicaciones.
Este update fue el que desató un error lógico: en tanto Falcon sí corre en el kernel de Windows y el update estaba corrompido, el booteo se cayó y quedó condenado a un loop con el pantallazo azul. El error comenzó a seguir el workflow global y mientras Europa se encontró con el problema entrada la media mañana, América Latina se despertó con el problema ya desatado (y tuvo más tiempo para diseñar un workaround).
Para más especificidad, el miércoles CrowdStrike publicó otra actualización del incidente en la que explica dónde ocurrió, exactamente, el error: en una parte de su software que se dedica al testeo dentro de lo que llaman Rapid Response Content que actualiza cómo Falcon detecta un malware.
La principal dificultad fue que para poder levantar los sistemas no hay automatización: hay que arreglarlo equipo por equipo, algo que puede llegar a ser una pesadilla para compañías de cientos de laptops y servidores. Microsoft lanzó luego una recovery tool para poder bootear las computadoras.
El CEO de CrowdStrike, George Kurtz -que fue CTO de McAfee-, lanzó un comunicado que fue criticado por no contener una disculpa y luego pasó un momento incómodo durante una entrevista en vivo.
A nivel político, el Congreso de los Estados Unidos ya le envió una citación a Kurtz a una audiencia para dar explicaciones ante el Gobierno: “Aunque apreciamos la respuesta de CrowdStrike y su coordinación con las partes interesadas, no podemos ignorar la magnitud de este incidente, que algunos han afirmado que es el mayor apagón informático de la historia”, aseguró el Congreso en su carta a Kurtz, enviada el lunes pasado.
Todo esto desató una discusión técnico-corporativa sobre quiénes y cómo pueden operar actualizaciones sobre el kernel: en 2009, la Unión Europea llevó al gigante de Redmond a firmar un acuerdo para permitir a empresas de ciberseguridad hacer cambios en el núcleo del OS, en el marco de un litigio antitrust. Microsoft es un jugador muy fuerte en el mercado EDR con Microsoft Defender for Business.
Una coda esperable de todo el caso es la proliferación de casos de phishing que se están desatando casi de manera inmediata: ya hay más de 180 dominios con el nombre “crowdStrike” registrado, muy probablemente siendo usados en casos de spear-phishing.
A nivel económico, Parametrix estima que compañías en el nivel Fortune 500 perdieron 5.4 mil millones de dólares.
Y, por último, algo que todos creímos que era un chiste pero fue real: la empresa ofreció una gift card de 10 dólares en Uber Eats a los afectados por el incidente, según reportó Tech Crunch.
👮 Arrestos y bajas importantes en la escena del cibercrimen internacional
Durante fines de la semana pasada y comienzos de esta se llevaron a cabo una serie de detenciones de actores claves del ciberdelito a nivel internacional.
Por un lado, fuerzas de seguridad de Reino Unido arrestaron a un joven de 17 años de Walsall (Inglaterra, al noroeste de Birmingham) que sería miembro de Scattered Spider, el grupo responsable de hacer sim-swapping contra MGM en septiembre del año pasado.
La detención fue llevada a cabo en coordinación con la National Crime Agency (NCA) del Reino Unido y el FBI de Estados Unidos. Y ocurre poco más de un mes después de que se detuviera en España a otro miembro de 22 años de la banda de ciberdelincuentes del Reino Unido. Durante la semana pasada, Microsoft empezó a conectar al grupo con Qilin ransomware.
Otro caso del que se hicieron eco los medios especializados fue el takedown de un sistema de DDoS “for hire”, “el actor más prolífico del mundo en este campo” según la NCA, en una operación conocida como Power Off. Se trataba de una web de fácil acceso que operaba como puerta al ciberdelito para actores de baja complejidad: con unos simples clics ya se podía contratar un servicio para inundar un sitio de peticiones.
“Se trata de un antiguo dominio de la Unión Soviética que muchos servicios de delincuencia utilizan bajo la idea de que supone un obstáculo para que los organismos de la ley lleven a cabo investigaciones eficaces”, declaró la NCA. La baja del sitio se hizo con un “shame-site” de las fuerzas de la ley, como sucedió con LockBit.
Y hablando de LockBit, dos rusos admitieron haber participado en numerosos ataques de ransomware del grupo cibercriminal, según un comunicado de prensa del Departamento de Justicia de EE.UU.
Ruslan Magomedovich Astamirov, de nacionalidad rusa, y Mikhail Vasiliev, ruso-canadiense, eran afiliados al RaaS (Ransomware as a Service). Esto implica explotar el modelo cibercriminal de identificar sistemas, vulnerarlos, copiar información interna y luego desplegar el payload para cifrar los sistemas e impedir el acceso a sus propios administradores y usuarios.
Vasiliev, de 34 años, operaba como afiliado del grupo cibercriminal bajo los nombres de BETTERPAY, OffTitan y EastFarmer. La estimación de las autoridades del operativo es que llegó a recaudar al menos 1,9 millones de dólares en rescates de al menos 12 víctimas a las que extorsionó en los últimos cinco años. Astamirov, de 21, usaba los alias Ghostrider, Free y DigitalOcean.
Vasiliev y Astamirov son dos de los seis miembros de LockBit acusados en Estados Unidos por sus delitos, detenidos en noviembre de 2022 y junio de 2023. El resto de los sospechosos de LockBit siguen en libertad. Hacia finales de la semana se supo que miembros del grupo habrían hecho un acuerdo con Play Ransomware.
Por último, en EE.UU., sancionaron también a dos ciudadanos rusos por apuntar a realizar ataques contra infraestructura crítica: Yuliya Vladimirovna Pankratova y Denis Olegovich Degtyarenko, ambos miembros clave del grupo hacktivista alineado con Rusia Cyber Army of Russia Reborn (CARR). El grupo había comenzado a operar en 2022 con ataques a Ucrania y países afiliados.
🥷 Publican datos de la Municipalidad de Santa Rosa
El grupo Hunters International publicó datos de la Municipalidad de Santa Rosa, Provcincia de La Pampa, Argentina.
Consultado por Dark News, Mauro Eldritch, analista de amenazas de BCA, aseguró que en un principio “el Gobierno local sostuvo que sólo había afectado ‘al sistema de pago de estacionamientos’”. Pero el lote filtrado parece implicar algo diferente.
Entre la información filtrada, analizó el especialista:
Se observan carpetas como Acción Social, Adultos Mayores o Desarrollo Social, que podrían comprometer información de personas en situaciones vulnerables y padrones de personas mayores, que son el blanco predilecto de estafadores. Hay datos de las áreas de Contaduría, Fiscalización, Rentas y Tesorería, que incluyen información de pagos, impuestos, métodos de pago, información bancaria y talonarios fiscales de todos los contribuyentes (físicos y jurídicos) y empleados.
Esta información es peligrosa, advierte, ya que suele tener datos asociados, “desde domicilios hasta qué banco utiliza la persona o cómo paga, qué volumen de dinero mueve, teléfonos y demás”, algo valioso para atacantes volcados hacia la ingeniería social.
Además, entre el leak, parece haber información interna:
También se observa un backup de varias cuentas de correos importantes que abarcan las áreas de Bromatología, Desarrollo Infantil, Consejos de Asesoría: Legal, Política, Contable, recursos humanos, Secretaría Presidencia y más. Hay una carpeta del área de Informática con código fuente, configuración, claves y binarios de distintos sistemas informáticos internos de la municipalidad.
Hunters International es un grupo de ransomware que fue detectado por primera vez en octubre de 2023 y, aunque comparte similitudes con Hive Ransomware, no es un rebrandeo.
La descripción del propio grupo en su sitio en la dark web dice: “Empezamos a ver que alguien dijo falsamente que somos el grupo del ransomware Hive, basándose en una similitud del 60% del código del encrypter. Todos los códigos fuente de Hive se vendieron, incluido el sitio web y las versiones antiguas de Golang y C, y fuimos nosotros quienes los compramos. Desafortunadamente para nosotros, encontramos muchos errores que causaron la falta de disponibilidad para el decrypter en algunos casos. Todos fueron corregidos”.
El grupo usa la extensión “.LOCKED” y dejan una ransom note “Contact Us.txt” con instrucciones para negociar el rescate de los datos. Además de su DLS (Dedicated Leak Site) en la dark web, tienen sitio en la clearnet.
🍪 Google se resiste a abandonar las cookies de terceros en Chrome y mata su acortador de URLs
Google abandonó su plan de bloquear cookies de terceros en Chrome, anunciado hace cuatro años. Según la empresa, la implementación de un nuevo sistema no está del todo desarrollada y genera problemas en el funcionamiento del navegador, a diferencia de lo que ya hacen competidores como Mozilla y Apple que ya bloquean cookies de terceros de manera predeterminada.
Para el usuario, esto significa que seguirá viendo pop-ups preguntando por las preferencias de las cookies en el navegador, o que incluso tendrá más sentido el negocio de las cookiewalls que algunos medios online ya están usando (ver).
El principal problema que enfrenta Google tiene que ver, en parte, con la gran cantidad de anunciantes que verían sus negocios severamente afectados por un cambio abrupto, en tanto Chrome es el navegador más usado del mundo.
Google había comunicado durante el año pasado que cambiaría su política de cookies hacia lo que dan en llamar un “Privacy Sandbox”, en palabras de la compañía, un sistema que “favorece la privacidad del usuario”.
Las cookies siguen siendo una pieza estructural del negocio de la publicidad online, en tanto recopilan información del usuario para targuetear avisos y generar un rédito económico. La decisión fue críticada por entes reguladores como el regulador de datos personales de Gran Bretaña, que dijo que la decisión es “decepcionante”.
Otra noticia en torno a Google que generó revuelo fue la eliminación de su servicio de acortador de URLs. Todo vínculo que haya sido acortado con el formato goo[.]gl llevará a un error 404 el año que viene.
Antes del shutdown, estos enlaces empezarán a mostrar una página de aviso para notificar que “este enlace dejará de funcionar en un futuro próximo”. La empresa empuja a los desarrolladores y publicadores a migrar sus hipervínculos para que no linkeen a una página sin destino y romper el redireccionamiento de estos enlaces a sus direcciones completas.
Los acortadores de URL se popularizaron hace años. Típicamente toman el nombre del sitio, acortado, y suman aleatoriamente una serie de caracteres más fáciles de recordar.
En el caso de Google se tratará, desde 2025, de otro producto que irá a parar al cementerio digital.
🔗 Más info
Google hizo un acuerdo con Reddit para ser el único motor de búsqueda dentro del sitio
Trend Micro detecta y explica una variante de Linux de Play Ransomware que apunta a ESXi
Infoblox detecta un nuevo grupo cibercriminal: Revolver Rabbit
Telegram arregla un zero-day que permitía enviar malware disfrazado de video
TuDoor: nuevo ataque DNS
Un clon de Z-library leakea 10 millones de usuarios
Microsoft advierte que su último update puede crashear Windows