El CCN-CERT avisa de que han llegado a su conocimiento una serie de incidentes con dos factores comunes: el ransomware Blackcat y el acceso a las redes objetivo utilizando credenciales legítimas obtenidas mediante el compromiso de cuentas utilizadas por proveedores de servicios.
Blackcat es una familia de malware que se ofrece como ‘Ransomware as a Service’, es decir, ha sido desarrollado por un individuo o grupo criminal que lo vende a terceros para que sean ellos quienes lo exploten.
El CCN-CERT recomienda aplicar las siguientes medidas:
-
Limitar al máximo el número de usuarios con acceso remoto a los sistemas de la organización.
-
Aplicar la política de mínimo privilegio, de modo que el acceso remoto no otorgue permisos de administración dentro del dominio.
-
Establecer una política de cambio de contraseñas periódico en el acceso remoto.
-
Desplegar un segundo factor de autenticación (2FA) basado en OTP (one-time password), token hardware o, en su defecto, mensaje de texto SMS o llamada.
-
Revisar inicios de sesión a través de los accesos remotos fuera del horario laboral, especialmente durante las horas nocturnas y los fines de semana.
-
Bloquear los accesos remotos provenientes de direcciones IP geolocalizadas fuera de España o habilitar solo aquellos estrictamente necesarios desde el extranjero.
-
Despliegue de microCLAUDIA y EDR.
A ellas podemos añadir las recomendaciones de:
-
Asegurarse de que TODAS las cuentas de usuario cumplen con las políticas de contraseñas, tanto en la periodicidad de los cambios como en la complejidad (robustez) de las mismas.
-
Gestionar de manera sistemática y con el máximo rigor los riesgos que puede suponer la cadena de suministro (proveedores) para la entidad propia, especialmente en el caso de que sus sistemas, servicios o productos se vean comprometidos y puedan ser utilizados como vectores de ataque.
