El pasado 19 de abril, un grupo criminal denominado Conti inició una serie de ataques cibernéticos a distintas instituciones del gobierno costarricense bajo la modalidad de Ransomware y uno de los objetivos fue el Ministerio de Hacienda, ente encargado de la recaudación tributaria.

El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) confirmó que desde el domingo 17 de abril, informó a Hacienda sobre la supuesta “actividad maliciosa” del grupo cibercriminal Conti, en el sistema Administración Tributaria Virtual (ATV) y el TICA (Tecnología de Información para el Control Aduanero), administrado por Aduanas.

Por medio de un video, el expresidente de la república, Carlos Alvarado descartó que el gobierno costarricense fuera a ceder ante las exigencias de pago de Conti, quienes solicitaban US$10 millones y posteriormente, ofrecía un descuento del 35% del pago.

lea además:

Aunque a usted le descuenten IGSS, corre el riesgo de que un día no le atiendan, pues se le deben Q62 mil millones a la institución

Ante la negativa del gobierno costarricense, el grupo criminal lanzó una nueva amenaza advirtiendo que, de no recibir los fondos, atacarían a otras entidades de gobierno y lo cumplieron, comprometiendo al ministerio de Trabajo. Luego, procedieron a atacar a varias compañías, durante la semana del 25 de abril.

Con el objetivo de abordar el tema sobre este tipo de ataques y cómo una organización puede protegerse, Prensa Libre tuvo acceso a una entrevista realizada a Mauricio Nanne, gerente general, y José Amado, director de Outsourcing Cybersecurity, de la firma Sistemas Aplicativos (SISAP), una empresa especializada en ciberseguridad a nivel regional con trayectoria de más de 35 años.

¿Cómo inician los ataques Ransomware?

El ataque inicia por correos engañosos (phishing) o explotación de vulnerabilidades (hacking) a la infraestructura de las instituciones.

Una vez logran penetrar las defensas, instalan programas maliciosos conocidos como Malware que les permite tomar control remoto de los dispositivos.

Lea además: Los ciberdelitos van en aumento y la PNC cambia estrategia para investigarlos

Con esto inspeccionan la red de la institución, buscando información que pueda ser de valor a terceros, sus clientes, ciudadanos o la propia institución.

Después, extraen los datos y los llevan a servidores bajo su control, también comprometidos, y proceden a cifrar o encriptar todo lo que pueden, especialmente los servidores que proveen servicios básicos, como los de directorio, bases de datos, servidores de aplicaciones, etc.

¿Cuál es la motivación de estos grupos?

El motivador es económico.  En este caso, el grupo Conti fue “brechado” o puesto en evidencia y su información fue publicada; se identificó que trabaja como una empresa, tiene alrededor de 350 “ingenieros” y los ingresos en los últimos años exceden los US$2 mil millones.

Hay sospechas e indicios de que están apadrinados y probablemente protegidos por el gobierno de Rusia, y posiblemente parte de los ingresos puedan ser para este. Es importante mencionar que el grupo Conti ha sido conocido como un “early adapter” que innova prácticas como el Ransomware as a Service, la doble extorsión y el pago a particulares por accesos. Estas prácticas se han convertido en estándar para otro tipo de atacantes imitadores.

El Ransomware as a Service consiste en un servicio que los atacantes ponen a disposición de personas particulares para atacar a una entidad u a otro particular. En sus inicios consistía en el secuestro y cifrado de los datos y su posterior liberación si el pago se cumplía; hoy, la doble extorsión involucra la exfiltración de los datos que el atacante tiene secuestrados y amenaza con hacerlos públicos, de no realizarse el pago.

Los hackers buscarán, por diferentes medios, obtener credenciales para tener acceso a las compañías. La última tendencia es la aparición y promoción de anuncios que ofrecen dinero a cambio de proveer credenciales.

¿Cuáles son los impactos de estos ataques?

Pueden ser graves, dependiendo de las medidas que se hayan tomado antes, durante y después. Siempre, la prevención será la mejor opción para poder lidiar con este tipo de incidentes, pero podemos resumirlo así:

Si los atacantes logran cifrar los datos, esto repercute en la detención total o parcial de las operaciones de la organización, los números dependerán de cada industria, pero nadie quiere verse forzado a dejar de producir y vender. El tiempo que demorarán en restaurar la operación dependerá de si contaba con respaldos (backups) o no, y qué tan limpios se encontraban.

Lea también: SAT denuncia 8 mil ataques cibernéticos en el año que afectan la facturación, pago de impuestos y procesos en aduanas

Otro tema es que si los datos confidenciales se divulgan, puede haber impactos legales y reputacionales para la organización. Por lo que se deberá proveer este tipo de escenarios y actuar rápidamente.

En todo caso, el daño será alto, requiriendo posiblemente fuertes inversiones, defensas legales y manejo de reputación.

¿Cuáles son las recomendaciones para las organizaciones?

Este es un tema muy extenso, que amerita programas completos.  Sin embargo, dada la urgencia de la crisis vale la pena considerar lo siguiente:

1. Tener buenos respaldos de datos y bibliotecas, validando de que estén limpios y FUERA DE LÍNEA.
2. Implementar de urgencia una evaluación de vulnerabilidades y mitigación a los servidores, comenzando por los más críticos.
3. Asegurar que los usuarios que tienen cuentas de correo no abran ni hagan clic en mensajes e hipervínculos, sin estar seguros de que vienen de un origen genuino y confiable.
4. Asegurarse que todos los ENDPOINT tengan una versión reciente (menos de una semana) de su protección (ANTIVIRUS o ENDPOINT SECURITY) idealmente de última generación o que incluya EDR.
5. Habilitar bitácoras detalladas en sus firewalls, IPS, Anti-spam, Gateway de Navegación, Servidores Críticos, con suficiente tamaño para que no se sobreescriban por lo menos en dos meses.  Sacar frecuentemente copia de las bitácoras y almacenarlas fuera de línea, para poder hacer una investigación forense en caso de que se comprometan los dispositivos.
6. Restringir al máximo la navegación.
7. Revisar constantemente bitácoras de los firewalls para detectar tráfico saliente anormal (indicación de que están exfiltrando datos).
8. Crear un Plan de Manejo de Crisis, definiendo las funciones de las personas que participarán y el portavoz oficial.
9. Aplicar estas mismas recomendaciones en sus infraestructuras y servicios en la nube.
10. Validar que los proveedores principales también cumplan con estas recomendaciones, para reducir su riesgo de interrupción de cadena de suministro.