Esta es una serie de buenas prácticas recomendadas para prevenir un ataque cibernético.
Por Revista Summa
Referente a los ataques cibernéticos realizados recientemente en varias entidades de Costa Rica GBM Cybersecurity Center insta a todos sus clientes y organizaciones de la región centroamericana y el caribe a reforzar sus medidas de seguridad cibernética.
A continuación, se presentan una serie de Indicadores de compromiso (IoCs) identificados del Ransomware Conti que se recomienda gestionar en sus controles de ciberseguridad.
El Conti Ransomware El Conti-Ransomware, es un virus informático para el secuestro de información desarrollado por el grupo de hackers ruso “Wizard Spider”. Es una variante del Ransomware Ruyk y es utilizado para secuestrar información y pedir un rescate a cambio en forma de pago por medio de Bitcoins.
Conti es una forma de Ransomware como servicio, el cual puede ser utilizado por múltiples grupos de hackers para atacar a sus victimas y ha sido utilizado desde 2020 para realizar múltiples ataques de extorción a nivel mundial.
Acciones recomendadas:
• Asegurar los respaldos de la organización, se recomienda que estos sean almacenados de forma descentralizada (fuera de la red principal de la organización).
• Realizar pruebas del funcionamiento de respaldos de forma periódica. • Escanear por vulnerabilidades y mantener todo el software actualizado.
• Implementar las guías de mejores prácticas y configuraciones de seguridad emitidos por vendors de controles de seguridad de la organización(principalmente controles perimetrales como Firewalls).
• Contar con herramientas de monitoreo SIEM o con un servicio de SOC.
• Revisar a nivel de Controlador de Dominio, que no existan cuentas de usuarios no reconocidos y mantener en el mínimo la cantidad de usuarios privilegiados. • Utilizar Múltiple Factor de Autenticación para todas las cuentas de usuario.
• Cerciorarse que no hayan existido cambios de contraseñas masivos en los últimos 20 días.
• Robustecer reglas de acceso condicional a la red(ubicación, dispositivos, horarios, riesgo de usuario). Acciones recomendadas
• Implementar segmentación de red y filtrado de tráfico. • Escanear por vulnerabilidades y mantener todo el software actualizado.
• Remover aplicaciones no necesarias. • Implementar soluciones de detección y respuesta a amenazas EDR/XDR. • Limitar el acceso a los recursos de red, especialmente restringir acceso remoto vía RDP y SMB.
• Mantener un inventario actualizado de activos tecnológicos críticos de la organización. • Mantener un diagrama de diseño de la infraestructura de red actualizado.
• Utilizar sistemas de prevención de pérdida de información DLP.
• Implementar procedimiento para identificar cambios no autorizados a equipos de red (en especial a Firewalls y Routers). • Mantener un plan de recuperación ante desastres DRP Actualizado y probado.