En los últimos meses, múltiples operadores de infraestructura crítica de diferentes gobiernos han sido atacados por ransomware, un fenómeno que debe enfrentarse con prioridad
El ransomware BlackByte utilizado para atacar al Invima cifra los archivos de servidores Microsoft Windows Exchange Server comprometidos para luego pedir rescate
Etek International alertó sobre un ciberataque realizado contra el Instituto Nacional de Medicamentos y Alimentos (Invima) en el cual piratas informáticos irrumpieron los servidores que alojan sus datos e instalaron un ransomware que ocasionó la caída de los sistemas informáticos y afectó la capacidad operativa de los servicios prestados por la entidad.
Para Etek, este tipo de ciberataques dirigidos a infraestructuras críticas del gobierno —incluyendo instalaciones estatales, alimentos, agricultura y finanzas— pueden poner en jaque a las cadenas de suministro y afectar a todos sus actores desde empleados, proveedores y aliados, hasta fabricantes, exportadores y puertos, los cuales pueden ser objeto de estafas y extorsiones.
Reconocida como una entidad de vigilancia y control de carácter técnico-científico que trabaja para la protección de la salud individual y colectiva de los colombianos, Invima tomó la decisión el pasado 6 de febrero de desactivar el portal web y todos los canales de atención digital, luego del ataque cibernético.
CONTEXTO
A través de sus plataformas digitales, Invima realiza la vigilancia a la exportación e importación de alimentos, medicamentos y productos cosméticos, incluyendo la revisión en puertos, pasos fronterizos y aeropuertos, labores que están siendo desarrolladas de manera manual luego del ciberataque.
Aunque hasta ahora —según Invima— los asaltantes digitales no han conseguido robar información importante, los ciberdelincuentes estarían extorsionando a algunos funcionarios de la entidad con un monto de dinero en criptomonedas a cambio de reestablecer el acceso.
Según el Instituto, el ransomware utilizado fue BlackByte, un software maligno creado por una banda de delincuentes del mismo nombre, que fue el responsable de atacar al equipo de fútbol americano San Francisco 49ers y a la cooperativa de granos Farmers Cooperative Elevator Co, entre otros.
Un comunicado conjunto entre el FBI y la Agencia Nacional de Seguridad, Ciberseguridad e Infraestructura (CISA), resaltó que BlackByte ha dejado una estela maligna de ataques a servidores informáticos de entidades estatales y corporaciones a nivel mundial, todas con un detalle en común: los atacantes ganaron acceso al servidor gracias a una vulnerabilidad de Microsoft Exchange Server, que permite acceder a los recursos hasta ganar privilegios de administrador. Acto seguido, los atacantes encriptan los archivos y piden un rescate en criptomonedas para descifrar los datos.
REACCIONES
En diálogo con W Radio el director de Invima, Julio César Aldana, explicó que, si se activa la plataforma digital, puede que la exposición al riesgo sea más alta. “Los expertos de la mesa multisectorial nos dijeron que la información está encriptada, pero no hay fuga de datos. Debemos recuperar esa plataforma, pero hacerlo con mucha certeza y muchísimo cuidado”.
Mientras se resuelve el incidente, el Invima anunció nuevas medidas de carácter manual para garantizar la continuidad de los servicios. Eso incluye la habilitación de canales alternos temporales, la expedición de certificados de venta libre (CVL), consultas y trámites, autorización de materiales, objetos, envases y equipamientos y acciones concretas de farmacovigilancia.
De forma similar y para agilizar el proceso de nacionalización de materias primas y alimentos —y enfrentar la emergencia digital— el Gobierno adoptó trámites extraordinarios y de carácter temporal para las operaciones de importación.
“De hecho, la mayor preocupación es que los hackers pidan rescate, publiquen o vendan la información confidencial del Invima, aseguró Praveen Sengar, CEO de Etek International. “Esto puede derivar en que toda la cadena del negocio, incluyendo proveedores, empleados, firmas importadores y exportadores, fabricantes de alimentos y medicamentos, entre otros, sean objeto de estafas y extorsiones aumentando aún más su riesgo”.
MITIGACIÓN Y REMEDIACIÓN
Etek recomienda instalar actualizaciones y parches de software y firmware tan pronto sean publicados por el fabricante, e implementar un calendario de revisión de controladores de dominio, servidores, estaciones de trabajo y directorios en busca de cuentas de usuario nuevas o no reconocidas.
“Sin importar el giro del negocio, es necesario implementar copias de seguridad periódicas de modo que éstas se encuentren en una ubicación distinta e independiente y que no puedan eliminarse desde la fuente original”, prosiguió Praveen Sengar. “Las organizaciones deben segmentar sus redes para evitar que los delincuentes puedan acceder a los servidores de red desde cualquier otra máquina”.
También es importante auditar de forma periódica las cuentas de usuario con privilegios de administrador y configurar los controles de acceso teniendo en cuenta los privilegios mínimos necesarios.
“Es prioritario que las entidades gubernamentales de control a la salud y los medicamentos establezcan una estrategia definida y políticas para detectar, corregir y enfrentar los ataques a la seguridad de la información”, finalizó Praveen Sengar. “La idea es implementar y mantener sistemas resilientes, así como una hoja de ruta que ayude a evaluar el riesgo y asegurar la continuidad del negocio”.