O CCN-CERT avisa de que están a chegar ao seu coñecemento unha serie de incidentes con dous factores comúns: o ransomware Blackcat e o acceso ás redes obxectivo utilizando credenciais lexítimas obtidas mediante o compromiso de contas utilizadas por provedores de servizos.
Blackcat é unha familia de malware que se ofrece como ‘Ransomware as a Service’, é dicir, foi desenvolto por un individuo ou grupo criminal que o vende a terceiros para que sexan eles quen o exploten.
O CCN-CERT recomenda aplicar as seguintes medidas:
-
Limitar ao máximo o número de usuarios con acceso remoto aos sistemas da organización.
-
Aplicar a política de mínimo privilexio, de modo que o acceso remoto non outorgue permisos de administración dentro do dominio.
-
Establecer unha política de cambio de contrasinais periódico no acceso remoto.
-
Despregar un segundo factor de autenticación (2FA) baseado en OTP (one-time password), token hardware ou, na súa falta, mensaxe de texto SMS ou chamada.
-
Revisar inicios de sesión a través dos accesos remotos fora do horario laboral, especialmente durante as horas nocturnas e as fins de semana.
-
Bloquear os accesos remotos provenientes de direccións IP xeolocalizadas fóra de España ou habilitar só aqueles estritamente necesarios desde o estranxeiro.
-
Despregamento de microCLAUDIA e EDR.
A elas podemos engadir as recomendacións de:
-
Asegurarse de que TODAS as contas de usuario cumpren coas políticas de contrasinais, tanto na periodicidade dos cambios como na complexidade (robustez) das mesmas.
-
Xestionar de maneira sistemática e co máximo rigor os riscos que pode supoñer a cadea de subministración (provedores) para a entidade propia, especialmente no caso de que os seus sistemas, servizos ou produtos se vexan comprometidos e poidan ser utilizados como vectores de ataque.
