Des de fa quatre mesos aquest grup especialista en ‘segrestar’ dades via ‘ransoware’ torna a estar molt actiu a Andorra, Espanya i França. Així ho té constatat l’Agència Nacional de Ciberseguretat (ANC-AD), que aquest dilluns ha emès un advertència i un seguit de recomanacions per als responsables d’infraestructures crítiques arran de l’atac a l’esmentat centre comercial. Formalment, l’empresa, que no té obligació legal d’haver de comunicar l’atac del qual ha estat víctima, no ha informat l’agència. Tampoc ha presentat cap denúncia a la policia. Però les dues organitzacions estan al cas de la situació.
Formalment, l’empresa, que no té obligació legal d’haver de comunicar l’atac del qual ha estat víctima, no ha informat l’agència. Tampoc ha presentat cap denúncia a la policia. Però les dues organitzacions estan al cas de la situació
Segons que ha pogut saber l’Altaveu, també l’Agència de Protecció de Dades (APDA) estaria al cas de la vulneració soferta pel centre comercial atès que alguns clients i proveïdors haurien comunicat que les seves dades potser han estat exposades. Vist els moviments dels darrers dies -els tècnics i responsables dels grans magatzems en qüestió han estat treballant de valent tot el cap de setmana i encara no han pogut restablir ni de bon tros la normalitat-, els ciberdelinqüents s’haurien centrat, especialment, encara que no únicament, en escanejar els dispositius relacionats amb la targeta de fidelització dels clients.
D’aquesta manera hi ha pagaments que no es poden formalitzar, punts que no es poden sumar i moltes altres anomalies que segons els propis empleats del centre comercial no podran actualitzar-se de manera automàtica fins a final de setmana o durant el cap de setmana. Manualment sí que es van fent operacions, però tot és molt feixuc. I les esmentades targetes van lligades a múltiples dades sensibles: des de comptes bancaris a matrícules de vehicles, atès que en alguns casos la targeta funciona a mode de ‘teletac’ en l’aparcament de l’establiment.
PREOCUPACIÓ I RECOMANACIONS
L’atac o atacs està causant una enorme preocupació. Més enllà de la feinada que està suposant per al centre comercial i el seu entorn, hi ha clients i proveïdors que tenen que les seves dades estiguin compromeses. Conscient de la gravetat de la situació, i tot i no haver estat informada oficialment, l’agència de ciberseguretat ha enviat una advertència a les entitats crítiques o d’importància del país per demanar-los que extremin les mesures de precaució cibernètica.
L’ANC-AD explica en la comunicació que “tal com s'ha anat notificant durant els darrers mesos, s'havia detectat un augment significatiu i sostingut d'escanejos de xarxa dirigits a entitats del país. Aquests escanejos constituïen un indicador preocupant d'activitat de reconeixement per part d'actors externs, i s'havia alertat en conseqüència”. L’alerta s’emet perquè “durant els darrers dos dies, diverses entitats del país han patit incidents de seguretat greus atribuïts a l'actor d'amenaça conegut com AKIRA”.
“Durant els darrers dos dies, diverses entitats del país han patit incidents de seguretat greus atribuïts a l'actor d'amenaça conegut com AKIRA”, alerta en la seva comunicació l’Agència Nacional de Ciberseguretat (ANC-AD)
L’agència recorda que AKIRA és un grup de ransomware altament professionalitzat, actiu des de l'any 2023, que opera sota el model de ‘Ransomware-as-a-Service (RaaS)’. “És conegut per realitzar atacs de doble extorsió —xifrat de dades i exfiltració prèvia amb amenaça de publicació— i per la seva capacitat d'evadir deteccions i eliminar meticulosament les evidències del seu pas pels sistemes compromesos, cosa que dificulta enormement les tasques forenses posteriors.”
L’ANC-AD exposa en la comunicació els diferents vectors principals d’entrada dels ‘hackers’ i a partir d’aquí fa un seguit de recomanacions. Per exemple, “augmentar considerablement la monitorització de tots els accessos VPN i RDP: registres d'autenticació, intents fallits, connexions en horaris inusuals o des d'ubicacions geogràfiques atípiques”.
També evisar i reforçar les polítiques d'accés remot: desactivar RDP si no és estrictament necessari; en cas que ho sigui, restringir-lo darrere de VPN i amb MFA obligatori. Més recomanacions són “verificar l'actualització de totes les solucions perimetrals (firewalls, VPN ‘gateways’, etc.) i aplicar pedaços de seguretat pendents” i “ampliar la supervisió a altres àmbits: moviments laterals, creació de comptes privilegiats, modificacions en polítiques de ‘backup’ i desactivació de serveis de seguretat”. Finalment es demana “traslladar aquesta informació al vostre SOC (‘Security Operations Center’) de forma immediata, perquè pugui activar les regles de detecció corresponents i augmentar el nivell d'alerta operacional”.
Comentaris (3)