Fecha de publicación: 27/04/2023

En las últimas semanas, el CCN-CERT ha tenido conocimiento de varios incidentes con el ransomware Blackcat en los que el vector de entrada a la red de la víctima ha sido un acceso remoto en el que los atacantes han usado credenciales legítimas de proveedores de servicios de TI, previamente comprometidas. En algunos casos, dichas credenciales otorgaban a los atacantes privilegios de administración, lo que les facilita el movimiento lateral y el despliegue de sus herramientas.

Tras el acceso inicial, los atacantes extraen información de las redes de las víctimas y despliegan código dañino de tipo ransomware, sometiendo a continuación a las entidades afectadas a una doble extorsión tras amenazarles con publicar la información robada.

Ante esta situación, se recuerda la importancia de tomar las siguientes medidas:

• Limitar al máximo el número los usuarios con acceso remoto a los sistemas de la organización;
• Aplicar la política de mínimo privilegio, de modo que el acceso remoto no otorgue permisos de administración dentro del dominio;
• Establecer una política de cambio de contraseñas periódico en el acceso remoto;
• Desplegar un segundo factor de autenticación (2FA) basado en OTP (one-time password), token hardware o, en su defecto, mensaje de texto SMS o llamada;
• Revisar inicios de sesión a través de los accesos remotos fuera del horario laboral, especialmente durante las horas nocturnas y los fines de semana;
• Bloquear los accesos remotos provenientes desde direcciones IP geolocalizadas fuera de España o habilitar solo aquellos estrictamente necesarios desde el extranjero.
• Despliegue de microCLAUDIA y EDR.

Atentamente,

Equipo CCN-CERT