Luego de importantes ataques cibernéticos contra organismos del gobierno central en Brasil, las investigaciones iniciales descubrieron que los actores malintencionados utilizaron credenciales de funcionarios públicos para acceder a los sistemas.
El hallazgo se encuentra entre una serie de advertencias y recomendaciones emitidas por la Oficina de Seguridad Institucional (GSI) de la presidencia. Lanzada inicialmente el miércoles pasado (8 de diciembre) y editada ayer (14 de diciembre), la alerta está dirigida a los gerentes de seguridad de todo el gobierno federal.
«Se han producido algunas intrusiones utilizando administradores legítimos [credentials]”, señaló el documento, agregando que esto significaba que los atacantes no tenían que realizar ninguna acción para acceder a los privilegios del sistema.
La publicación y posterior edición de la alerta de GSI surgen cuando el Ministerio de Salud (MoH) de Brasil lucha por restablecer sus sistemas luego de un importante ataque de ransomware el viernes pasado. Sistemas como ConecteSUS, que posee datos y certificados de vacunación contra el COVID-19, siguen sin estar disponibles.
GSI recomendó una serie de medidas de seguridad a adoptar por los departamentos en caso de «acciones maliciosas o uso indebido de credenciales».
Además de notificar al centro de respuesta y prevención de ataques cibernéticos del gobierno, las instrucciones incluyeron fortalecer el uso de herramientas de autenticación de múltiples factores para todos los administradores de sistemas en la nube.
La oficina de seguridad también recomendó la reevaluación de las políticas de respaldo, así como solicitar a los proveedores de la nube que cambien las contraseñas maestras e implementen capas de seguridad adicionales para mitigar el riesgo de que los actores maliciosos utilicen contraseñas de alto privilegio.
Los administradores de seguridad deben controlar la configuración de acceso a los metadatos en entornos de nube, señaló el documento de GSI, y comenzar campañas internas para lograr que el personal cambie sus contraseñas por alternativas más seguras.
Además, el documento sugiere reducir el nivel de privilegios de red como un medio para limitar la cantidad de personal que puede realizar cambios importantes en el sistema. Las recomendaciones también incluyen bloquear el acceso a los sistemas para servidores públicos fuera del trabajo por motivos como vacaciones.
El Ministerio de Salud todavía está trabajando para que los sistemas vuelvan a estar en línea después de que un segundo ataque cibernético «causó confusión» en Datasus, la función de TI del departamento. El miércoles (15 de diciembre), el Ministerio de Salud dijo en un comunicado que los equipos estaban trabajando para restablecer el sistema de certificación de vacunas lo antes posible, pero no proporcionó una estimación de cuándo sucedería.
Además, el Ministerio de Salud alertó a la población sobre correos electrónicos falsos sobre un supuesto servicio mediante el cual se enviarían certificados de vacunas a la población por correo electrónico. El departamento reiteró que la única forma de obtener los certificados es a través de la aplicación ConecteSUS o en línea.
Miembros del grupo Lapsus$, que se atribuyó la autoría de los ataques cibernéticos contra el Ministerio de Salud en los últimos días, comenzaron a volcar archivos en línea que supuestamente fueron extraídos de los sistemas del Ministerio de Salud, según el sitio web de seguridad brasileño. Asesor CISO.
Hasta el momento, ya se han descargado 293 MB de datos, y el paquete se compone principalmente de tablas de datos, código Javascript y, aparentemente, no hay datos de ciudadanos. En un intercambio con Asesor CISOlos perpetradores dijeron que descargarán 10 MB adicionales en línea pronto, pero no dijeron cuándo.