El pasado jueves 13 de abril de 2023, se dio a conocer que los sistemas de cómputo de la Comisión Nacional del Agua (Conagua) fueron vulnerados por el ransomware BlackByte, el cual habría infectado las computadoras de diversas delegaciones y subdirecciones a nivel nacional, cifrando todos los archivos de los últimos quince años y haciendo inaccesibles todos los equipos.
En este sentido, la unidad de investigación de SILIKN ha emitido una alerta, pues si bien se ha mencionado que este ataque de ransomware fue mitigado por el equipo técnico de Conagua, así como de personal del área de Estrategia Digital Nacional, personal de la Guardia Nacional y la empresa Scitum, el ransomware BlackByte tiene capacidades de movimiento lateral, lo cual pone en riesgo a las dependencias de gobierno con las cuales está vinculada la Conagua, como la Secretaría de Medio Ambiente y Recursos Naturales, el Servicio Meteorológico Nacional o el Instituto Mexicano de Tecnología del Agua, entre otras instituciones catalogadas dentro del rubro de seguridad nacional, servicios públicos e infraestructura crítica.
Este ransomware es sumamente agresivo y ha sido reportado como uno de los más peligrosos. Ejemplo de lo anterior, es que el FBI dio a conocer desde febrero de 2022 que BlackByte vulneró y tuvo acceso a la red de al menos tres organizaciones pertenecientes al sector de infraestructura crítica de Estados Unidos a finales de 2021 y principios de 2022.
BlackByte inició operaciones en septiembre de 2021 y es un grupo que ofrece Ransomware as a Service (RaaS). Se dedican a cifrar los archivos comprometidos en máquinas con Windows incluyendo tanto servidores físicos como virtuales. Sus ataques recientes se basan en la explotación de los conjuntos de fallas ProxyShell y ProxyLogon en los servidores de Microsoft Exchange. Además, el grupo cibercriminal utiliza herramientas como AdFind, AnyDesk, NetScan y PowerView para moverse lateralmente.
Algunas recomendaciones para poder mitigar este tipo de ransomware, incluyen:
- Implementar copias de seguridad periódicas, de modo que éstas se encuentren en una localización distinta ni puedan eliminarse desde la fuente de los datos originales.
- Implementar segmentación de red, evitando que se pueda acceder a todas las máquinas de la red desde cualquier otra máquina.
- Instalar actualizaciones y parches de sistemas operativos, software y firmware tan pronto como se publiquen estas.
- Revisar los controladores de dominio, servidores, estaciones de trabajo y directorios en busca de cuentas de usuario nuevas o no reconocidas.
- Auditar las cuentas de usuario con privilegios de administrador y configurar los controles de acceso teniendo en cuenta los privilegios mínimos necesarios. No otorgar privilegios de administrador a todos los usuarios.
- Deshabilitar los puertos de acceso remoto no utilizados y controlar los registros de acceso remoto para detectar cualquier actividad inusual.
- Deshabilitar los hipervínculos en los correos electrónicos recibidos.
- Utilizar factores de doble autenticación al iniciar sesión en cuentas o servicios.