El Instituto de Investigación Sanitaria La Fe repele el ransomware con WatchGuard-Cytomic

La institución sanitaria sale libre de un ciberataque de ransomware que entró a través de una conexión de escritorio remoto de un proveedor al que hackearon el ordenador.

Publicado el 01 Sep 2022

Alfredo Marco, responsable de Seguridad, y Javier Ripoll, director del Departamento de Informática, ambos pertenecientes al Instituto de Investigación Sanitaria La Fe.

El Instituto de Investigación Sanitaria La Fe (IIS La Fe) es un centro de investigación biomédica acreditado por el Instituto de Salud Carlos III. Los trabajos que realiza el IIS La Fe han permitido posicionar a la institución como una de las más punteras en investigación del país en materia biomédica, clínica y sanitaria; lo que, por otro lado, también la ha convertido en blanco de los ciberatacantes.

Los datos que maneja son altamente sensibles, factor que hace que la institución deba contar con soluciones de seguridad de última generación que blinden su infraestructura tecnológica: los 300 endpoints y 22 servidores que componen su parque informático, para evitar posibles ataques y estar preparada para combatir y gestionar el creciente número de ciberamenazas.

La entidad no puede permitir que se produzca ni la más mínima fuga de datos, pues tendría consecuencias terribles. De hecho, el IIS La Fe ha visto como se ha intensificado la actividad maliciosa, llegando a bloquear más de 4.000 URL con malware solo en el último año, más de 300 emails de phishing y gestionando un sinfín de alertas de otro tipo.

¡Alerta, un ciberataque!

Para reforzar su infraestructura de seguridad , IIS La Fe confió en WatchGuard-Cytomic, instalando sus soluciones avanzadas de protección, detección y respuesta de endpoints Advanced EPDR; WatchGuard-Cytomic Data Watch, dotando de protección a los datos personales y sensibles; WatchGuard Patch Management, que ofrece asesoramiento sobre vulnerabilidades y gestión de parches; y WatchGuard ART, que recopila y correlaciona los datos aportando visibilidad en tiempo real de cualquier evento que ocurra en la red. “Necesitábamos una plataforma centralizada que automatizara la revisión y análisis de todas las incidencias de forma sencilla, rápida y ordenada, simplificando la gestión de los procesos y agilizando el parcheo de posibles vulnerabilidades para tener siempre nuestras soluciones actualizadas”, explica Javier Ripoll, responsable del departamento de Informática del IIS La Fe.

La entidad no puede permitir que se produzca ni la más mínima fuga de datos, pues tendría consecuencias terribles

Recientemente, la institución fue víctima de un intento de ataque de ransomware que entró a través de una conexión de escritorio remoto de un proveedor al que hackearon el ordenador. Inmediatamente, WatchGuard-Cytomic detectó un comportamiento desconocido e inusual procediendo a su bloqueo. Lanzó avisos de la existencia de CobaltStrike, un programa no deseado, ante lo cual, se procedió a deshabilitar a los usuarios de la empresa proveedora, a la desconexión de red de las máquinas afectadas, -un total de 5 servidores-, y al cambio de contraseñas de administrador, siguiendo el protocolo de seguridad y las indicaciones de la OSI.

Acto seguido, se analizaron todos los servidores para verificar el alcance real del incidente y se vio cómo los actores maliciosos habían intentado desinstalar la solución Advanzed EPDR de WatchGuard, algo que no consiguieron gracias a la correcta configuración inicial de la plataforma y a la activación de la protección anti-tamper, funcionalidad que evita que usuarios no deseados o ciertos tipos de malware puedan detener los servicios o los drivers de la protección. Para activar esta funcionalidad es necesario configurar una contraseña maestra contra manipulaciones no deseadas de las protecciones que se guarda en la cloud, haciendo casi imposible que se pueda averiguar, ya que para obtenerla hay que hablar directamente con la compañía de seguridad.

Sin embargo, el atacante optó por descargar un DGAE, una herramienta que sirve para desinstalar la protección cuando no se puede hacer por otra vía. Aun así, hacía falta que WatchGuard-Cytomic enviara un token con la contraseña, algo que nunca ocurrió, pues en todo momento Advanced EPDR identificó el comportamiento como anómalo.

“Sin esta funcionalidad anti-tamper activada, el ataque habría sido fatal. La contraseña de desinstalación es una de las cosas más importantes. Las soluciones instaladas nos dan visibilidad 360º y vimos que los atacantes habían descargado incluso las herramientas que utilizan los técnicos de WatchGuard-Cytomic, y ni con eso pudieron desinstalar su protección”, recalca el directivo.

Tras analizar todas las máquinas y copias de seguridad, se procedió a conectar los servidores a la red, pero se continuó aislándolos con la funcionalidad que tiene WatchGuard-Cytomic para hacer un análisis aún más minucioso y contar con un reporte más extenso y mejor elaborado.

Se detectó lo que ya se sabía: “lo único que había sido infectado eran estas herramientas desplegadas en los equipos. Acto seguido, y para mayor tranquilidad, se optó por limpiar y restaurar las copias de seguridad. Esto ayudó a que no se perdiera nada del trabajo realizado, ya que el intento de ataque tuvo lugar fuera del horario laboral”, señala Ripoll, que insiste en que “se actuó así por precaución y, hasta que la OSI y el CSIRT no dieron el visto bueno, no se levantaron los backups restaurados en los servidores”.

Por fin a salvo

“Nos salvó que teníamos la solución perfectamente configurada desde el primer momento”, apunta Alfredo Marco, técnico a cargo de la seguridad en el IIS La Fe. “Tenemos la certeza de que nuestras bases de datos no han sido abiertas ni se ha filtrado ningún dato porque la consola de seguridad registra todas las pantallas de las aplicaciones que se abren y ejecutan, y esto no ha ocurrido. Aquí, la herramienta WatchGuard Data Watch jugó un papel clave, nos ha aportado algo más que protección, ayudándonos a demostrar que ni un solo dato había sido vulnerado”.

Los resultados logrados son obvios y podemos decir que el ataque quedó en una anécdota. “Contar con una consola centralizada que automatiza todos los procesos de detección y análisis, y a la que se puede acceder con facilidad desde cualquier lugar y dispositivo para revisar alertas o monitorizar cualquier comportamiento extraño, es crítico”, comenta Alfredo Marco.

Por otro lado, desde la institución eran reacios a que la solución estuviera en la nube ante el temor de quedar expuesta a cualquiera. Este miedo desapareció al ver la gran utilidad del doble factor de autenticación a la hora de registrarse, que aporta la seguridad y la tranquilidad de que el usuario que se conecta es quién dice ser.

Otro de los beneficios que destacan guarda relación con la gestión de vulnerabilidades, que se ha simplificado y agilizado enormemente gracias a WatchGuard Patch Management. Ahora, pueden aplicar los parches de los fabricantes de forma inmediata y automatizada.

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

C
Redacción Computing

Artículos relacionados

Artículo 1 de 3