L’Agència de Ciberseguretat de Catalunya ha identificat durant les últimes setmanes un increment dels incidents per ransomware dirigit a ajuntaments arreu del territori. Aquest tipus d’atac té com a objectiu bloquejar els sistemes de l’entitat a través del xifrat de la seva informació, demanant un rescat per al seu restabliment o per la recuperació de les dades. Aquest rescat acostuma a ser per un import elevat i és sol·licita en criptomonedes (generalment bitcoin).
El “modus operandi” més recent per dur a terme aquests atacs consisteix en la realització d’intrusions manuals en els sistemes informàtics de l’ajuntament. En general, aprofiten accessos exposats a internet i sistemes de treball en remot (teletreball), com VPNs, RDP o Citrix, utilitzant credencials prèviament robades o explotant vulnerabilitats en aquestes mateixes tecnologies. Un cop a la xarxa interna, en cas necessari, roben usuaris privilegiats utilitzant programari maliciós, per a propagar el ransomware definitiu des del propi controlador de domini o els servidors de virtualització.
Per aquests motius, les principals recomanacions que s’haurien d’aplicar són les següents:
- Es recomana l’ús d’autenticació multi-factor (MFA) als sistemes i aplicacions públicament exposades, de cara a reduir la possibilitat que els atacants accedeixin inicialment a la xarxa mitjançant l’ús de credencials prèviament compromeses.
- Incrementar la consciència en ciberseguretat del personal dificulta que els atacants aconsegueixin entrar a la xarxa de les organitzacions. Els actors tenen menys capacitat de desplegar el ransomware si no poden entrar a la xarxa.
- També és imprescindible mantenir tots els sistemes i aplicacions actualitzades, especialment aquelles exposades públicament (serveis VPN, sistemes operatius de màquines relacionades amb el teletreball, etc.).
Tot i l’aplicació de les mesures preventives esmentades, cap xarxa és 100% segura. Quan actors cibercriminals han aconseguit entrar a la xarxa, hi ha tot un seguit de bones pràctiques que en dificultaran el moviment lateral i l’escalada de privilegis. L’objectiu dels atacants és controlar el màxim nombre de sistemes possible i la via més comú per obtenir-lo és mitjançant un compte d’administrador de domini o mitjançant el mateix controlador de domini.
- Únicament el personal d’administració TIC ha de disposar d’accés a comptes d’administrador. Així, el nombre de comptes d’administració s’ha de mantenir el més petit possible, aplicant el principi de privilegis mínims (least privilege principle), reduint la possibilitat que un atacant obtingui un compte privilegiat.
- Addicionalment, el personal d’administració TIC no haurien d’iniciar sessió amb comptes d’administrador als ordinadors i estacions de treball de la resta d’usuaris o d’ús comú. Qualsevol ordinador de l’organització podria veure’s compromès i l’atacant podria extreure les credencials usades al mateix (p.e. mitjançant l’ús de Mimikatz) i obtenir accés a un compte d’administrador.
- Una estratègia de segmentació de xarxa és una altra bona pràctica que dificultaria el moviment lateral.
Finalment, i com a regla d’or davant amenaces de ransomware, és de la màxima importància disposar d’una bona estratègia de còpies de seguretat desplegada.
- L’impacte d’un atac exitós amb ransomware es veu reduït considerablement quan es disposa d’una còpia de seguretat recent aïllada de la xarxa (air-gapped) o en una localització “offsite”. En aquest escenari, en comptes de la pèrdua total d’informació o del elevat cost econòmic del pagament del rescat, aquest es redueix probablement a la indisponiblitat temporal del servei mentre es gestiona la infecció i es recuperen les dades.
L’Agència de Ciberseguretat de Catalunya, gràcies al CATALONIA-CERT, disposa d’elevades capacitat de resposta que li permeten actuar coordinadament, en temps i forma per a minimitzar l’impacte dels incidents de ciberseguretat que es produeixen arreu del territori. En cas de patir un incident, es prega contactar mitjançant trucada de telèfon al 900 112 444 o bé via correu electrònic a l’adreça de correu cert@ciberseguretat.cat.
Aquest últim any, l’Agència de Ciberseguretat de Catalunya ha definit un servei específic de ciberseguretat per a l’administració local, que té per objectiu oferir noves capacitats de protecció i resposta en front amenaces i incidents de ciberseguretat i permetre així evitar atacs com els que son objecte del present comunicat. Es preveu que aquest servei, estigui operatiu a principis del segon trimestre del 2021, tanmateix s’ha creat la següent bústia de correu seguretat.aall@ciberseguretat.cat per resoldre cap dubte o qüestió al respecte.