El último acontecimiento en la saga del ataque NotPetya de 2017 debería ser un recordatorio para las organizaciones de que solo se necesita un puñado de ciberdelincuentes para echar abajo todas sus operaciones.
La semana pasada, el Departamento de Justicia de EE.UU. anunció cargos que incluían fraude informático y conspiración contra seis hackers del grupo de ciberdelincuentes conocido como Sandworm, que son miembros confirmados de la agencia de inteligencia militar rusa GRU.
Se cree que Sandworm está detrás de ataques que inutilizaron parte de la red eléctrica de Ucrania en 2016, se entrometieron en las elecciones francesas de 2017, destruyeron ordenadores utilizados en los Juegos Olímpicos de Invierno de 2018 y, sobre todo, son responsables del famoso ataque NotPetya.
El ataque NotPetya afectó a organizaciones de 65 países de todo el mundo, causando daños estimados en 10.000 millones de dólares. Un ejemplo de estas organizaciones en los titulares es la mayor naviera del mundo, Maersk. Según los informes, la red de Maersk quedó paralizada en cuestión de minutos y los daños causados por el malware se completaron en una hora. Maersk perdió todos sus servidores controladores de dominio Active Directory (AD) en línea, junto con sus copias de seguridad. Su salvación fue un controlador de dominio apagado en su oficina de Accra, Ghana.
Maersk tardó nueve días en recuperar AD. El CISO de Maersk, Andy Powell, fue citado diciendo "Nueve días para una recuperación de Active Directory no es suficiente, deberías aspirar a 24 horas; si no puedes, entonces no puedes reparar nada más".
La noticia fue publicada en wired.com por el célebre periodista especializado en ciberseguridad y autor de Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers, Andy Greenberg. Hace poco tuvimos la oportunidad de sentarnos con Andy en la conferencia Protección de Identidad Híbrida 2020 y hablar sobre lo que las organizaciones pueden aprender de los ciberataques destructivos como NotPetya, y cómo pensar en una estrategia alternativa. Andy hizo hincapié en que "incluso más que en la defensa, hay que centrarse en la resiliencia. Puede que no seas capaz de prevenir un ataque, pero puedes estar preparado para responder a uno y recuperarte."
Lecturas relacionadas
Lecciones aprendidas: ¿Está preparado para el próximo "NotPetya"?
NotPetya ocurrió no hace mucho largo y la mayoría de los CISO de hoy en día trabajaban en la industria de TI en alguna capacidad cuando ocurrió. Maersk fue bastante transparente en cuanto a lo gravemente perjudicada que se vio por NotPetya, hasta el punto de que los detalles sobre la pérdida total del Active Directory de la empresa se incluyeron en casi todos los artículos técnicos que cubrían el ataque. Uno pensaría que los CISO tomarían nota y la estrategia de recuperación de AD sería diferente hoy en día.
Y, sin embargo, la mayoría de las organizaciones aún no disponen de un plan para garantizar la recuperabilidad de AD.
Es cierto que se realizan copias de seguridad y que existen soluciones de seguridad para mantener una postura de seguridad preventiva adecuada, pero las organizaciones actuales siguen sin estar preparadas para un ataque a AD del calibre de NotPetya.
Según nuestra reciente publicación Recuperación de Active Directory de desastres cibernéticos el 84% de las organizaciones admite que la pérdida de controladores de dominio AD como parte de un ciberataque tendría un impacto significativo, grave o catastrófico en la organización.
Sin duda, las copias de seguridad desempeñan un papel importante en una estrategia de recuperación ante desastres, pero dado que AD representa el único o el principal servicio de identidad en el 58% de las organizaciones, es imprescindible estar preparado para esa pérdida "catastrófica" de AD. NotPetya demostró que puede ocurrir. Y, sin embargo, algo más de dos tercios (68%) de las organizaciones no tienen un plan de recuperación de AD, tienen un plan pero no lo han probado, o no lo han probado en un año.
Basándose tanto en el ataque NotPetya como en otros más recientes ciberataques que involucran AD, hay algunos tipos de tácticas de ataque dirigidas a AD que deberías esperar y su plan de respuesta debe abordar:
- AD Manipulación-La capacidad de AD para proporcionar acceso a recursos y control sobre usuarios y endpoints la sitúa en el punto de mira de los ciberdelincuentes. Es necesario poder devolver tu AD a un estado conocido, bueno y estado conocido-seguro
- AD Disponibilidad-In el ataque ataqueel registro de arranque maestro de cada controlador de dominio se encriptado, haciendo que inhabilitando el arranque. Usted debe ser capaz de recuperar todo desde un único controlador de dominio a todo el bosque (con todas sus complejidades) sin riesgo de reintroducción de malware.
- Sin copias de seguridad de AD-Muchas cepas de ransomware tienen como objetivo el servicio Volume Shadow Copy de Microsoft, las copias de seguridad por tipo de archivo e incluso intentan acceder a las soluciones de copia de seguridad a través de la API. Como mínimo, la regla regla de las copias de seguridad 3-2-1 con una copia fuera de las instalaciones. Y para aquellas organizaciones que reconocen AD como la carga de trabajo crítica que es, tener una solución que se centre en recuperación de bosques AD crea una estrategia de respuesta por capas. De este modo, puede contar con la capacidad de corregir el problema aunque no haya copias de seguridad viables.
El viejo adagio adaptado "aquellos que no recuerdan el pasado están condenados a repetirlo" sigue siendo cierto. Y, si eres una de las organizaciones que no aprendió de la experiencia de Maersk recuperándose de NotPetya, la acusación de Sandworm debería servir como recordatorio de que ahora es el momento de empezar a planificar para cuando el próximo gran ciberataque ataque.