Por Claudia Contreras, E&N
El pasado domingo el Gobierno de Costa Rica enfrentó el ciberataque más serio del que ha sido víctima. De entrada, Conti Group se atribuyó el ‘hackeo’ que provocó que el Ministerio de Hacienda deshabilitara desde el pasado lunes la plataforma ATV, que se usa para declarar y pagar impuestos; la TICA, mediante la cual se tramitan las exportaciones y las importaciones, y además los sistemas para el pago de salarios del Gobierno central. También tuvo que brindar extensiones a los contribuyentes para el pago de impuestos.
Las empresas costarricenses estaban inquietas por la posibilidad de que la información confidencial proporcionada al gobierno pudiera publicarse y usarse en su contra, mientras que los ciudadanos comunes estaban preocupados de que su información financiera personal pudiera usarse para vaciar sus cuentas bancarias.
El Gobierno afirma que la situación está bajo control. Pero en paralelo al ciberataque, hay al menos 60 mil intentos de minado (canjeo) de criptomonedas desde los servidores de instituciones públicas, reportó ameliarueda.com El director de Gobernanza Digital, Jorge Mora, señaló que son intentos únicamente, métodos que usan los ciberdelincuentes para “probar”, si obtienen resultados positivos según sus intereses.
Lea más: Aeropost alerta a clientes que tarjetas de crédito estarían en riesgo por ‘hackeo’
“Hay bandas que se dedican a ingresar en sistemas consultas a través de correos, recordemos que en el gobierno se reciben por día miles de miles de consultas, entonces lo que hacen estas personas es usar infraestructura ajenas para hacer el minado de criptomonedas, pero son procesos que estamos interrumpiendo, hay y varias formas de operar. Sesenta mil es el significante, es decir que instalaron algo para tal vez empezar -a tener dominio de sistemas- o probar hacerlo, muchos de nosotros podemos tener instalados sin saberlo, un juego, o insumo que nos da una utilidad y de fondo lo que tiene es “cryptomining” (descifrador de monedas cifradas). No es un tema de situación de riesgo nacional, no es preocupación nacional. Lo que si preocupa es la extorsión y la extracción de información”, dijo Mora.
El experto manifestó que se pidió formalmente a cada equipo técnico de las instituciones, en las que se detectó este tipo de gestión, que inicien la investigación respectiva.
Allan Liska, un analista de inteligencia de la firma de seguridad Recorded Future, comentó que Conti estaba realizando una extorsión doble: encriptando archivos del gobierno para impedir el funcionamiento de las dependencias y publicando archivos robados si no se pagaba el dinero exigido. La primera parte con frecuencia puede superarse si los sistemas cuentan con buenos respaldos, pero la segunda es más complicada, según lo delicado de los datos robados, publicó AP.
Conti suele arrendar su infraestructura de ransomware a “afiliados” que pagan por el servicio. El afiliado que ataca a Costa Rica puede estar en cualquier parte del mundo, afirmó Liska. “Buscan vulnerabilidades específicas”, afirmó. “Así que la explicación más probable es que Costa Rica tenía varias vulnerabilidades y uno de los participantes del ransomware descubrió esas vulnerabilidades y pudo explotarlas”.
Brett Callow, un analista de ransomware de la firma Emsisoft, dijo haber visto uno de los archivos filtrados del Ministerio de Hacienda de Costa Rica. “No parece haber mucha duda de que los datos son legítimos”, aseguró.
🚨 #Conti's latest update on their alleged Costa Rica cyberattack 👇#Ransomware #RansomwareGroup #ContiLeaks pic.twitter.com/cCxhJo1o0Z
— BetterCyber (@_bettercyber_) April 23, 2022
¿Qué opciones tiene Centroamérica?
E&N habló con Juan Bosco Bustos Salazar, Country Manager en SISAP Costa Rica, sobre el ciberataque que afecta al país. Bustos tiene más de 20 años en gestionar Seguridad Informática y Seguridad de la información.
Bustos propone la necesidad crear una agencia común que comparta información de ciberataques. “Hay que entender lo importante de la fortaleza si nos unimos. Cada institución tiene sus iniciativas, sus esfuerzos. A veces, lamentablemente si una empresa o institución sufre una brecha de seguridad la tendencia es a no compartir. Pero si compartimos información va a permitir que los demás conozcan cómo pasó y aprender de la experiencia”. “Es importante desarrollar alianzas público - privadas a nivel regional para esto”. Bustos dijo que SISAP cuenta con el Centro de operaciones de seguridad (Security Operations Center, SOC) de última generación., que recopila información anónima de los ataques a las infraestructuras de clientes para compartir a entidades a nivel global. En paralelo, debe de ser clave entender para cada entidad: cuál es la data más apreciada, dijo que es necesario pensar: “¿cuáles son las joyas de la corona?”.
Su compañía se dedica a hacer análisis forense digital, para determinar qué herramientas utilizaron los cibercriminales. Dijo que es muy pronto para determinar el cómo inició el ransomware de Conti. Pero alertó: “Ransomware es un programa malicioso que entra a través de un tipo de correo fraudulento, y a partir de ahí comenzó a afectar la red con estrategias y herramientas”. Bustos subrayó que no importa si la organización es grande o pequeña, las redes de ciberdelincuentes organizadas tienen jerarquías, objetivos, tamaños de empresas.
“Ha habido un aumento considerable en tiempo pandemia y postpandemia a los tomadores de decisión, dueños de empresas, tratando de buscar hacer fraudes”. Ante esta amenaza, el CEO de SISAP dijo: “Dude. Tenga cierto grado de malicia, incluso gente que diga que es de tu empresa. No comparta información sensible ni por chat, ni por WhatsApp, ni por correo”. Bustos insiste que toda empresa debe tener un programa de ciberseguridad. “No vale meter una herramienta y decir: con esto ya estamos protegidos”, dijo Bustos.
Cultura de prevención
Para Omar H. Rangel, Country Manager de Fortinet Costa Rica, “las organizaciones criminales, algunas con afiliaciones de distintas personas en múltiples países, cuentan con recursos para financiar sus operaciones y están muy bien capacitados. Incluso existen criminales que brindan servicios de ransomware, facilitando conocimiento, herramientas, infraestructura y otros componentes necesarios para llevar a cabo esta modalidad criminal a gran escala en modo de campañas”, aseguró.
¿Cómo inicia?
Técnicamente un ataque tiene distintas fases, cada una de ellas tiene un propósito específico:
· Infección: los atacantes intentarán o bien engañar a un empleado de la organización para que de alguna forma ejecute un programa malicioso, siendo un correo electrónico conocido como phising la vía más común, o bien explotar alguna vulnerabilidad conocida no corregida para lograr ejecutar este malware. También existe la posibilidad de la participación deliberada de algún empleado de la organización víctima.
· Movimiento lateral: una vez controlando un dispositivo de la organización los atacantes pondrán en marcha la segunda fase, que denominamos “movimiento lateral” en la jerga de la ciberseguridad, cuando desde un dispositivo de la organización se propaga a la mayor cantidad de computadoras posible. Si bien intentarán hacer esto lo más rápido posible, puede tomar largos períodos de tiempo, pudiendo llegar a varios meses. Los criminales trabajarán con mucho sigilo, utilizando técnicas de evasión, para pasar lo más desapercibidos posibles. Durante esta etapa, buscarán vulnerar los servidores de autenticación para poder crear usuarios con privilegios administrativos, instalar masivamente software para controlar los servidores de gestión de actualizaciones y destruir los mecanismos de respaldo para que cuando se secuestre la información, no sea posible recuperarla. La finalización de esta segunda fase dependerá de cuándo los criminales decidan que pueden causar el suficiente daño a la víctima que podría inducirlo a pagar un rescate. En paralelo, los cibercriminales estarán robando la mayor cantidad de información posible a fin de usarla luego de forma extorsiva y/o venderla a otros actores criminales.
· Cifrado de datos: en esta etapa es cuando se da la instrucción al software malicioso previamente instalado para cifrar la información, mediante una clave que hasta ese momento solo los atacantes conocen. Se ejecuta muy velozmente y es muy difícil de mitigar llegado a este punto, por lo que se dará notificación a la víctima y se le exigirá el rescate. Lo siguiente es muy similar a la operatoria de un secuestro extorsivo convencional, abriendo los delincuentes canales de comunicación y negociación con la pretensión de obtener el pago a cambio de entregar la clave de descifrado.
¿Cómo detectar y reaccionar?
Tener solo una estrategia de prevención no basta, hay que invertir tanto en la capacidad de prevenir como en la de detectar y reaccionar. Es aconsejable privilegiar el tener una visión central y unificada de toda la superficie de ataque. Incorporar capacidad de análisis y reacción a velocidad digital, asistida por inteligencia artificial para poder tener detección temprana y respuesta automatizada, se vuelve crítico por el volumen de información.
· Realice entrenamientos para concientizar acerca de esta problemática y tener una fuerza de trabajo ciberconsciente en su empresa u organismo público. Una práctica habitual es realizar campañas de phising de prueba, buscando identificar a los empleados que son engañados y así profundizar el entrenamiento de estas personas.
· Mantenga la higiene digital de los dispositivos, instalando las actualizaciones de seguridad provistas por los fabricantes lo más rápido posible para reducir la brecha de exposición.
· Despliegue confianza cero en la red por medio de segmentación, robusteciendo la autenticación y el manejo de identidad, implementando firewalls de nueva generación y políticas de mínimo privilegio en ellos, y analizando los eventos de seguridad en búsqueda de indicadores de compromiso.
· Implemente soluciones de detección y respuesta. La prevención basada en firmas que tienen los antivirus en la actualidad para los dispositivos no basta y por eso es necesario sumar software de detección y respuesta, EDR por sus siglas en inglés, que se focalizan en la post-ejecución.
“A medida que las redes se vuelven más complejas, también lo es defenderlas. Ya no es un trabajo de una solución puntual. Las soluciones que permiten no solo prevenir, sino también detectar y responder de forma integrada y automatizada puede aliviar la carga del equipo de TI y ayudar a cerrar las puertas al ransomware” concluyó Rangel.