Recomanacions de l’Agència de Ciberseguretat de Catalunya davant els atacs de ransomware
20.1.21


L'Agència de Ciberseguretat de Catalunya ha identificat durant les últimes setmanes un increment dels incidents per ransomware dirigit a ajuntaments arreu del territori. Aquest tipus d’atac té com a objectiu bloquejar els sistemes de l’entitat a través del xifrat de la seva informació, demanant un rescat per al seu restabliment o per la recuperació de les dades. Aquest rescat acostuma a ser per un import elevat i és sol·licita en criptomonedes (generalment bitcoin)
 
El "modus operandi” més recent per dur a terme aquests atacs consisteix en la realització d’intrusions manuals en els sistemes informàtics de l’ajuntament. En general, aprofiten accessos exposats a internet i sistemes de treball en remot (teletreball), com VPNs, RDP o Citrix, utilitzant credencials prèviament robades o explotant vulnerabilitats en aquestes mateixes tecnologies. Un cop a la xarxa interna, en cas necessari, roben usuaris privilegiats utilitzant programari maliciós, per a propagar el ransomware definitiu des del propi controlador de domini o els servidors de virtualització.
 
Per aquests motius, les principals recomanacions que s’haurien d’aplicar són les següents:
 
Es recomana l’ús d’autenticació multi-factor (MFA) als sistemes i aplicacions públicament exposades, de cara a reduir la possibilitat que els atacants accedeixin inicialment a la xarxa mitjançant l’ús de credencials prèviament compromeses.
Incrementar la consciència en ciberseguretat del personal dificulta que els atacants aconsegueixin entrar a la xarxa de les organitzacions. Els actors tenen menys capacitat de desplegar el ransomware si no poden entrar a la xarxa.
També és imprescindible mantenir tots els sistemes i aplicacions actualitzades, especialment aquelles exposades públicament (serveis VPN, sistemes operatius de màquines relacionades amb el teletreball, etc.).