Veinte días (y contando) sin poder trabajar por un ataque con ransomware: 10 consejos que debería haber seguido este ayuntamiento

Desde hace 20 días, el ayuntamiento de Cangas (Pontevedra) no puede gestionar las nóminas de los trabajadores, ni los impuestos y tasas, entre otros muchos servicios municipales basados en la tecnología. Todo comenzó en la madrugada del día 19 de mayo, cuando unos agentes de la Policía Local intentó comprobar los antecedentes de un detenido y los terminales daban error al acceder a la base de datos.

Cuando, a las 7 de la mañana, el encargado municipal de informática llegó para solventar la incidencia, no sólo no fue capaz de arreglarlo, sino que descubrió que lo que tenían entre manos era algo mucho más grave de lo que parecía. Desde entonces, los sistemas municipales permanecen inutilizados.

Por fortuna, parte del trabajo (secretaría, registro de entrada, departamento de Urbanismo) se lleva a cabo a través del programa Gestiona, que depende de administraciones superiores, pero

"Hay que introducir de forma manual todos los datos de las 229 nóminas del Concello y los de 92 trabajadores del Servicio de Atención al Hogar".

Lo que tenían entre manos era un ataque por ransomware protagonizado por Lockbit (nombre tanto del malware como del grupo de cibercriminales que lo gestiona). Como consecuencia del mismo, los discos de los servidores municipales permanecían cifrados a la espera de que el ayuntamiento aceptase pagar una cierta cantidad no revelada —pero, según se cuenta, abultada— de dinero en bitcoins…

…una cantidad que ya han revelado que no pagarán, por lo que están tratando de desencriptar sus datos con la ayuda del Centro Criptográfico del CNI, que ha facilitado además la 'vacuna Microclaudia' —un software que previene ataques de ransomware—. Mientras, Lockbit, que tiene toda esa información en su poder, amenaza con venderla al mejor postor en la Dark Web si el ayuntamiento no acepta realizar el pago.

En Genbeta

Si no bastaba con el ransomware, ahora llegan las estafas basadas en ciberataques fake. Amenazan con publicar datos que no tienen

Más allá de Cangas

Los primeros ataques de LockBit comenzaron en 2019, y desde entonces han actuado por todo el mundo (desde Estados Unidos a China, pasando por Indonesia, Ucrania o Francia) y dirigiéndose normalmente contra instituciones públicas y grandes empresas. No son los mismos cibercriminales los que realizan personalmente todos los ataques: los creadores del software lo 'alquilan' a otros criminales bajo el modelo llamado 'Ransomware as a Service'.

No es el único frente abierto que una entidad española tiene contra LockBit: las operadoras R Cable (Galicia), Telecable (Asturias) y Euskaltel (País Vasco) sufrieron, días antes que Cangas, sus propios ataques a manos de LockBit, que ha impedido a los empleados acceder a los sistemas para dar altas o registras incidencias… y que ha permitido a los delincuentes acceder a datos de clientes y empleados que publicarán también en la Dark Web si no pagan.

Tabla filtrada por LockBit con un listado de datos privados clientes de Euskaltel entre los que se encuentran destacados políticos vascos.

Cómo protegerse

Según los primeros informes, el ciberataque de Cangas pudo producirse aprovechando una vulnerabilidad del software VPN que usan para facilitar el teletrabajo. Pero ni está confirmado por ahora, ni es, desde luego, el único vector de ataque que Lockbit es capaz de aprovechar.

Te recordamos algunos de los consejos (unos propios, otros de la empresa de ciberseguridad Kaspersky) que debemos tener en cuenta a la hora de protegernos contra Lockbit (y otras clases de ransomware):

1. Evita sitios web y correos falsos o sospechosos: No ingreses en sitios web sospechosos y ten cuidado con los correos que parecen legítimos, pero pueden contener malware o solicitar la descarga de archivos maliciosos.
2. Cuida los enlaces y archivos que descargas: Sé cauteloso al abrir enlaces o descargar archivos de fuentes desconocidas, ya que pueden ser la fuente de un ataque de ransomware.
3. Mantén todo tu software actualizado: Asegúrate de tener todas tus aplicaciones y programas actualizados (no sólo el antivirus), puesto que las actualizaciones suelen contener parches de seguridad que protegen contra el ransomware y otro malware.
4. Mantente informado: Mantente al tanto de las novedades en materia de seguridad, ya sea a través de sitios web confiables o fuentes oficiales como la Policía Nacional y el Incibe, para estar al tanto de los casos de ransomware y otros problemas de seguridad.
5. Implementa contraseñas seguras: Utiliza contraseñas más largas y complejas, evitando términos fáciles de adivinar. Crea frases de contraseña utilizando variaciones de caracteres.
6. Activa la autenticación de varios factores: Añade capas adicionales de protección a tus inicios de sesión mediante la biometría o autenticadores de claves físicas.
7. Simplifica los permisos de las cuentas de usuario: Limita los permisos a niveles más estrictos para evitar amenazas y presta especial atención a los permisos de los usuarios de endpoints y cuentas de TI con privilegios de administrador.
8. Elimina cuentas de usuario desactualizadas y no utilizadas: Revisa y elimina las cuentas de empleados anteriores que aún están activas en sistemas antiguos.
9. Revisa y actualiza las configuraciones del sistema: Verifica que las configuraciones cumplan con los procedimientos de seguridad y elimina directivas obsoletas que puedan poner en riesgo a la organización.
10. Realiza copias de seguridad y mantén imágenes limpias: Realiza copias de seguridad periódicas y guarda imágenes limpias de los equipos locales para proteger los datos y poder recuperarlos en caso de incidentes o infecciones de malware. Considera tener múltiples puntos de copia de seguridad rotativos.

Imagen | Mohamed Hassan en Pixabay

En Genbeta | De profesión, secuestrador digital