20.1.21
L’Agència de Ciberseguretat de Catalunya ha identificat durant les últimes setmanes un increment dels incidents per ransomware dirigit a ajuntaments arreu del territori. Aquest tipus d’atac té com a objectiu bloquejar els sistemes de l’entitat a través del xifrat de la seva informació, demanant un rescat per al seu restabliment o per la recuperació de les dades. Aquest rescat acostuma a ser per un import elevat i és sol·licita en criptomonedes (generalment bitcoin)
El “modus operandi” més recent per dur a terme aquests atacs consisteix en la realització d’intrusions manuals en els sistemes informàtics de l’ajuntament. En general, aprofiten accessos exposats a internet i sistemes de treball en remot (teletreball), com VPNs, RDP o Citrix, utilitzant credencials prèviament robades o explotant vulnerabilitats en aquestes mateixes tecnologies. Un cop a la xarxa interna, en cas necessari, roben usuaris privilegiats utilitzant programari maliciós, per a propagar el ransomware definitiu des del propi controlador de domini o els servidors de virtualització.
Per aquests motius, les principals recomanacions que s’haurien d’aplicar són les següents:
Es recomana l’ús d’autenticació multi-factor (MFA) als sistemes i aplicacions públicament exposades, de cara a reduir la possibilitat que els atacants accedeixin inicialment a la xarxa mitjançant l’ús de credencials prèviament compromeses.
Incrementar la consciència en ciberseguretat del personal dificulta que els atacants aconsegueixin entrar a la xarxa de les organitzacions. Els actors tenen menys capacitat de desplegar el ransomware si no poden entrar a la xarxa.
També és imprescindible mantenir tots els sistemes i aplicacions actualitzades, especialment aquelles exposades públicament (serveis VPN, sistemes operatius de màquines relacionades amb el teletreball, etc.).
