Infraestructuras críticas del gobierno de Costa Rica bajo ataque por el grupo Conti Ransomware

El grupo está solicitando el pago de 10 millones de dólares por la recuperación de los datos cifrados y ha comenzado a extorsionar con filtrar un total de 1TB de datos confidenciales robados. Como es común en los operadores de ransomware ha filtrado una muestra de los datos que poseen publicando un archivo comprimido con 70M de datos. El ataque continúa y también aseguran haber comprometido la red del MICITT de Costa Rica (Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones).

El gobierno de Costa Rica ha estado sumando esfuerzos y tomando medidas de seguridad alternas para mitigar el impacto que este ataque pueda causar. En el comunicado de prensa emitido la Presidencia de Costa Rica indican que se están implentando planes de contingencia, a fin de garantizar la continuidad de los servicios, hasta donde dichos planes lo permitan.

Esta no es la única vez que la banda Conti ha realizado ciberataques en Centroamérica. Una referencia de la presencia de la banda fue a finales del año pasado cuando hizo público el compromiso de la infraestructura de una compañía en Nicaragua. La banda de Conti en los comunicados enviados el día de hoy índica que esto podría ser una versión de prueba para un ciberataque global en un país entero, nosotros como SOC incitamos a las instituciones y empresas privadas a reforzar los controles de seguridad y seguir las recomendaciones brindadas en este comunicado de seguridad.

¿Qué medidas ha tomado el Gobierno de Costa Rica?

Son múltiples las formas en que esta amenaza se presenta en la red de sus víctimas en dependencia de la campaña. Según los reportes brindados por los equipos de respuesta a incidentes, el acceso inicial ocurre por:

  • Compra el acceso a un Inicial Access broker.
  • Explotando vulnerabilidades tales como: Microsoft Windows MSHTML platform (CVE-2021-40444).
  • Se auxilian de correos de phishing que entrega la botnet Emotet. La triada Emotet-TrickBot-Ryuk (Ryuk que ahora es Conti).
  • Vulnerabilidades en Dispositivos IoT/OT: impresoras, routers, Firewalls, PCLs. En un chat filtrado de la banda se conoció que ellos recomiendan la compra de exploits para vulnerabilidades en Cisco y SonicWall Firewall.
  • Vulnerabilidades en sitios de Wordpress y otros Sistemas de administración de contenido (CMS, por sus siglas en inglés).
  • Servicios RDP y Portales de VPN clientes expuestos, y portales de administración del Firewall públicas.

Acciones que recomendamos

  1. Se recomienda validar que los procesos de concientización de usuarios se estén llevando a cabo de manera adecuada para que estos no sean víctimas de un ataque de phishing.
  2. Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  3. Utilice la autenticación multifactor. Implemente la segmentación de la red y filtre el tráfico.
  4. Analice en busca de vulnerabilidades y mantenga el software actualizado.
  5. Elimine aplicaciones innecesarias y aplique controles.
  6. Implemente herramientas de respuesta de detección y punto final.
  7. Límite las direcciones de origen que pueden acceder a los puertos. Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales.

Regresar a Noticias
Contáctanos
Llámanos
PGP/GPG Key
For encrypted email communications, use the following PGP/GPG key:

PGP/GPG key: 0x07269380
Fingerprint: E637 674B B744 19223837 D14E 76C1 0E32 0726 9380
Visítanos
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.
English Español