Un devastador ataque de ransomware que comenzó el 8 de febrero contra la Ciudad de Oakland resultó en interrupciones de red en los sistemas de la ciudad, lo que llevó al administrador de la ciudad a declarar un estado de emergencia para agilizar el proceso de restauración del sistema de la ciudad.
El municipio cerró temporalmente su línea de llamadas 311 que coordina las solicitudes de servicios municipales. La línea de llamadas es un sistema interno para contratar y financiar proveedores externos, el centro de permisos para desarrollos locales y los sistemas que manejan los pagos de impuestos comerciales y tasas de estacionamiento.
Desde la primera violación, los archivos personales y financieros robados en el ataque han sido filtrados en la web oscura por el grupo de ransomware Play. Los funcionarios municipales confirmaron que el grupo de hackers que publicó información personal sensible en febrero también fue responsable de una filtración de datos en la web oscura de 600 gigabytes de información. Los datos incluyen números de seguridad social, direcciones de domicilio y datos médicos de miles de empleados actuales y anteriores del municipio.
La Ciudad de Oakland no es el primer gobierno local atacado por el grupo de ransomware, también conocido como PlayCrypt. Han dirigido ataques a varias municipalidades y empresas en todo el mundo.
Cómo prevenir este tipo de ataques
Hay una diferencia significativa entre la detección y respuesta cibernética versus la protección y eliminación. La detección y respuesta cibernética son reactivas, defienden después de que las amenazas ya han ingresado a la red para explotar los sistemas y filtrar datos. La prevención y eliminación son proactivas, eliminando las vulnerabilidades antes de que los actores malintencionados las encuentren y las exploten.
La violación de ransomware de la Ciudad de Oakland podría haberse evitado siguiendo algunas prácticas básicas de ciberseguridad, como:
- Realizar pruebas de penetración automatizadas.
- Mantener actualizado el software.
- Utilizar contraseñas fuertes y autenticación de dos factores.
- Realizar copias de seguridad de los datos regularmente en un lugar externo.
- Capacitar a los empleados para reconocer correos electrónicos de phishing y otras tácticas de ingeniería social.
- Restringir el acceso a datos y sistemas sensibles.
- Utilizar firewalls y software de seguridad de punto final.
- Las pruebas de penetración automatizadas han demostrado ser bastante efectivas.
Si bien no existe una solución definitiva para prevenir los ataques de ransomware, las pruebas de penetración automatizadas han demostrado ser una medida de seguridad proactiva eficaz que permite a las agencias gubernamentales y empresas comerciales cambiar las tornas de ser víctimas a ser cazadores.
RidgeBot es un robot de pruebas de penetración automatizadas para la gestión de vulnerabilidades basada en riesgos. Para luchar contra los ciberdelincuentes, muchas organizaciones realizan ejercicios de equipo rojo y equipo azul. El equipo rojo está compuesto por expertos en seguridad ofensiva que intentan atacar las defensas de ciberseguridad de una organización, y el equipo azul se defiende y responde a los ataques del equipo rojo.
Ridge Security ha automatizado este proceso con bots que llamamos RidgeBots. Actúan como atacantes humanos, localizando incansablemente vulnerabilidades y luego documentando sus hallazgos. A diferencia de los humanos, los RidgeBots están equipados con estrategias de ataque dinámicas que se mueven de un objetivo a otro. Las pruebas de penetración automatizadas de RidgeBot son asequibles y se ejecutan a escala empresarial.
RidgeBot realiza cuatro pasos principales:
- Descubre activos activos como servidores, dispositivos de red, sistemas operativos y sitios web.
- Escanea e informa sobre los activos y superficies de ataque descubiertos, incluyendo URL débiles, puertos abiertos y vulnerabilidades del sistema. Más allá del mapeo de software, el escaneo utiliza cargas útiles reales para detectar vulnerabilidades.
- Explota utilizando habilidades de hacking ético aprendidas de los probadores humanos, lanzando ataques sofisticados, conjuntos e iterativos.
- Realiza verificación posterior a la explotación para indicar si las configuraciones específicas permiten que los hackers se muevan lateralmente aún más en el entorno, utilizando técnicas de prueba como la escalada de privilegios, Pass-the-hash, etc.
RidgeBot tiene una plantilla específicamente diseñada para combatir ataques de ransomware. Sus capacidades incluyen escanear 27 vulnerabilidades de puntos de entrada de ransomware de alto perfil, lanzar ataques para aprovechar estas vulnerabilidades y proporcionar informes detallados sobre cómo se lograron las explotaciones de prueba con éxito.
Haz clic aquí para leer nuestro documento técnico y aprender cómo RidgeBot puede ayudarte a defenderte contra ransomware.