Anatomía de un ransomware

El ataque de ransomware que recibió la British Library y todo lo que podemos aprender de él.

Es muy raro que una empresa víctima de un ciberataque publique los detalles del mismo. British Library lo hizo en marzo de este año cuando publicó un paper sobre el ataque exitoso de ransomware que recibió en octubre 2023. La publicación nos presenta una valiosa ventana a cómo funcionan los ataques de ransomware. Aquí te cuento lo que ocurrió y qué podemos aprender de la experiencia.

El ataque de Rhysida

Al ataque de ransomware lo reinvindicó Rhysida, una banda criminal que se sospecha está basada en Rusia, Bielorrusia o Kazajstán. Esto ocurrió el 28/10/2023, luego de 3 días de reconocimiento adentro de la red de British Library por parte de los atacantes. Estos copiaron y exfiltraron 600GB de data, incluyendo información personal de usuarios y empleados. Cuando British Library se negó a pagar un rescate los criminales subastaron y luego publicaron la información robada en la dark web.

El acceso a la red posiblemente se obtuvo mediante un servidor instalado por British Library para conectar a los proveedores que empezaron a trabajar remotamente luego de Covid-19. Posiblemente alguno de estos proveedores expuso su clave en un ataque de phishing o fue descubierta con un ataque de fuerza bruta, en los que el criminal prueba opciones de clave masivamente. Para empeorar la situación ese servidor no requería Multi-Factor de Autenticación (MFA), es decir otra medida de autenticación adicional a la clave como un token. No puedo enfatizar lo suficiente la importancia de usar factores de autenticación adicionales a la clave. Esta es una mejor práctica que evitaría muchísimos de los ataques que he visto.

Adicionalmente, una arquitectura tecnológica con muchos sistemas antiguos, producto de la fusión de muchas colecciones y funciones institucionales, fue una de los factores del éxito del ataque. El diseño anticuado de la red permitió a los atacantes moverse con más libertad. Sumado a eso, la dependencia en procesos manuales para transferir data incrementó el volumen de información en múltiples copias desperdigadas por la red. Finalmente, un sistema moderno de detección evitó que también se afectaran las laptops, pero los servidores usaban softwares de detección más antiguos.

Además de extraer la data, los criminales inhabilitaron algunos servidores para dificultar la recuperación de operaciones y esconder sus huellas.

La postura de British Library

Este impacto ha sido el más grave para British Library porque, aunque tienen copias de todas sus colecciones digitales y digitalizadas, no tienen la infraestructura donde restituirla. La reconstrucción de la infraestructura inició en diciembre del 2023 y sigue en curso. British Library estima que le tomará 6 meses establecer procesos temporales para operar y 18 meses para operar normalmente sobre una nueva infraestructura basada en nube.

Los plazos son extensos porque la mayoría de sistemas de software no pueden ser restituidos a su forma pre-ataque -ya no tienen soporte de sus fabricantes o no funcionan en la nueva infraestructura segura-. Otros sistemas deben ser modificados o migrados a versiones más recientes para ser usados sobre la nueva infraestructura. Los sistemas basados en nube han seguido funcionando normalmente.

British Library fue muy valiente en reconocer sus debilidades y publicar el caso con tanto detalle. Aprovechemos su transparencia para aprender de la situación y evitar que nos pase algo similar.

Sigue toda la información de Open Hub News en X y Linkedin , o en nuestra newsletter.
  

Autor