Sembrando el caos
Cole afirma que Rusia conoce muy bien el alcance de los grupos cibercriminales, por lo que ahora se espera que se motive nuevamente su actividad delictiva y los especialistas advierten sobre un posible reclutamiento o reactivación de grupos. El 14 de enero, el servicio de seguridad nacional de Rusia (FSB, por sus siglas en ruso) arrestó a 14 miembros del grupo de hackers REvil, a pedido del gobierno de los Estados Unidos, pero ahora esta organización podría funcionar al gobierno ruso.
De acuerdo con las autoridades rusas, la operación donde cayeron los miembros de REvil fue un trabajo en el que se registraron 25 direcciones, y en el que confiscaron 5.6 millones de dólares junto a más de 600,000 dólares en criptomonedas, además de 20 automóviles de lujo.
“El terreno anteriormente ganado al obligar al gobierno ruso a acabar con los grupos criminales de ransomware enfocados en afectar a las empresas estadounidenses probablemente se evaporará y es posible que esos mismos grupos sean alentados a aumentar su actividad ilícita”, apunta Cole.
Ahora los especialistas temen que puedan volver a activarse este tipo de grupos.
“Debemos acelerar el trabajo hacia un Centro de Competencia en Ciberseguridad en Bucarest, Rumania. Darle muchos más recursos y convertirlo en un verdadero centro de agencias nacionales de ciberseguridad”, apunta el Consejo Europeo de Digitalización, conformado por once asociaciones TIC que alertan que, sobre todo en Ucrania, el secuestro de fuentes de energía podría dejar a la población incomunicada, sin luz y más vulnerable.
De acuerdo con Reuters, los apagones de energía se han centrado en Kharkiv, la segunda ciudad más grande de Ucrania, mientras que el proyecto de detección y análisis de interrupciones de Internet (IODA) de Georgia Tech informó interrupciones parciales que comenzaron justo antes de la medianoche del 23 de febrero y continuaron hasta la mañana del 24 de febrero.
Las interrupciones están afectando al proveedor de servicios de Internet Triolan, que da servicio a varias ciudades y otras áreas de Ucrania, incluido Kharkiv.
¿Qué pasa con las empresas mexicanas?
Cole señala que las empresas en infraestructura crítica, y en general las organizaciones de México, deben tomar los siguientes pasos de inmediato.
· Asegurarse de que la autenticación multifactor se implemente y sea obligatoria para cada usuario.
· Aumentar los esfuerzos en torno a las actividades de ciber higiene para mantener actualizadas todas las aplicaciones y sistemas operativos, incluyendo exposición de credenciales almacenadas en los usuarios.
· Supervisar y administrar cuidadosamente los sistemas de servicios de identidad como Directorio Activo e implementar la detección de ataques dentro de él, sin descuidar el tema de diagnóstico continuo para reducir la superficie de ataque.
· Identificar anomalías en torno a la explotación de credenciales, uso sospechoso de cuentas privilegiadas, que al igual que las de Directorio Activo son tácticas consistentes en los grupos de ransomware.
· Asegurarse de que se realicen con frecuencia las copias de seguridad, se mantengan fuera del sitio y se conserven en un estado prístino.
· Mantener actualizado su plan de respuesta a incidentes (IR) y practicarlo con todo el personal clave. Agregar un contrato de IR externo si se carece de experiencia.
· Interactuar y conocer a su equipo legal local antes de cualquier incidente importante.
