EscucharEl cibergrupo delictivo Hive, conformado por algunos exmiembros del grupo criminal Conti, podría extender sus hackeos a otras instituciones públicas o incluso al sector privado, por lo que las empresas deben tomar en cuenta una serie de recomendaciones para proteger a sus equipos de estos criminales, cuya acción obligó a apagar los sistemas de la Caja Costarricense de Seguro Social (CCSS).
Por eso, el equipo de ATTI CYBER, primera empresa de ciberdefensa creada en el país, preparó una serie de consejos para las compañías con el fin de que puedan evitar vulneraciones como la de la Caja, la cual fue realizada con un método distinto al utilizado en otras entidades públicas, ya que a diferencia de Conti, el ransomware Hive no trabaja de forma automática y programada, sino de manera manual en estilo remoto.
LEA MÁS: CCSS habría sido ‘hackeada’ por un brazo de Conti llamado Hive
En primer lugar se advierte sobre las principales herramientas utilizadas por los delincuentes para concretar los ataques. La primera es ProxyShell, nombre que se le ha dado a la ejecución de tres vulnerabilidades en la plataforma Microsoft Exchange, que al ser encadenadas, permiten la ejecución de un código remoto no autenticado en el servidor. Las versiones vulnerables son Microsoft Exchange Server 2013, 2016 y 2019.
La segunda es Cobalt Strike, muy utilizada por los diferentes actores de amenazas (comúnmente por afiliados de bandas de ransomware) para las tareas de posexplotación con el fin de desplegar los llamados beacons, que proporcionan acceso remoto persistente a los dispositivos comprometidos. Y la tercera es Mimikatz, una aplicación de código abierto que permite a los usuarios ver y guardar credenciales de autenticación.
LEA MÁS: ‘Hackers’ estuvieron semanas, inclusive meses’ en los sistemas , admite jerarca de CCSS
Además, en la siguiente lista se enumeran 15 recomendaciones para aplicar en las empresas:
1. Asegure el servidor de Exchange con la actualización acumulativa (CU) y la actualización de seguridad (SU) de Exchange más recientes proporcionadas por Microsoft.
2. Exija el uso de contraseñas complejas y solicite a los usuarios que cambien las contraseñas periódicamente.
3. Todas las cuentas basadas en contraseña (como las cuentas de servicio, administrador y administrador de dominio) deben tener contraseñas seguras y únicas.
4. Implemente la autenticación multifactor para todos los servicios en la medida de lo posible, especialmente para correo web, redes privadas virtuales VPN y cuentas que acceden a sistemas críticos.
5. Utilice la solución LAPS de Microsoft para revocar los permisos de administrador local de las cuentas de dominio (el principio de privilegio mínimo) y verifique y elimine periódicamente las cuentas de usuario inactivas.
6. Bloquee el uso de SMBv1 y use la firma de SMB para protegerse contra el ataque pass-the-hash.
7. Restrinja el acceso al mínimo requerido para los roles en su organización.
8. Mantenga copias de seguridad de datos fuera de línea y realice copias de seguridad y restauraciones periódicas. Esta práctica asegura que no habrá cortes importantes en la organización, ni datos irrecuperables en caso de un ataque de ransomware.
9. Asegúrese de que todos los datos de copia de seguridad estén encriptados, sean inmutables (es decir, no se puedan cambiar ni eliminar) y abarquen toda la infraestructura de datos de la organización.
10. Deshabilite las conexiones de escritorio remoto, use las cuentas con menos privilegios. Restrinja a los usuarios que pueden iniciar sesión usando Escritorio remoto, establezca una política de bloqueo de cuenta. Asegúrese de que el registro y la configuración de RDP sean adecuados.
11. Instale Autenticación, informes y cumplimiento de mensajes basados en dominios (DMARC), Correo identificado con claves de dominio (DKIM) y Marco de políticas del remitente (SPF) para su dominio, que es un sistema de inspección de correo electrónico diseñado para evitar el correo no deseado.
12. Mantenga su software antivirus actualizado en todos los sistemas. Utilice una solución tipo Endpoint Detection and Response (EDR) en activos críticos tales como servidores.
13. Haga segmentación de la red y división en zonas de seguridad: ayude a proteger la información confidencial y los servicios críticos. Separe la red administrativa de los procesos comerciales con controles físicos y VLAN.
14. Ejecute evaluaciones de vulnerabilidades y pruebas de penetración (VAPT) o auditorías de seguridad de la información de redes/sistemas críticos, especialmente servidores de bases de datos, al menos una vez al año.
15. Por último, se recomienda a las personas u organizaciones que no paguen el rescate si son atacados, ya que esto no garantiza que los archivos se liberarán. Reporte tales incidentes al Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) y a la policía local.
LEA MÁS: ‘Hackers’ éticos en Costa Rica: ¿qué son y cómo trabajan?
