El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC, por sus siglas inglés) ha advertido que los ataques de ransomware contra el sector educativo están otra vez en aumento.
Su alerta llega después de que en el último mes se haya producido una oleada de este tipo de ciberataques contra objetivos de alto nivel de todo el mundo – como los sufridos por el oleoducto estadounidense Colonial Pipeline, por el servicio de salud de Irlanda o por el mayor gigante cárnico del planeta – y es la tercera que realiza este organismo durante este curso escolar. La primera fue al comienzo del año académico, a principios de septiembre, la segunda el pasado mes de febrero y la tercera ahora, en un momento crítico al coincidir con los exámenes y pruebas finales.
"Los ataques de ransomware pueden tener un impacto devastador en las organizaciones, ya que las víctimas requieren una cantidad significativa de tiempo de recuperación para restablecer los servicios críticos (…). En incidentes recientes que afectaron al sector educativo, el ransomware ha provocado la pérdida de trabajos de curso de los estudiantes, registros financieros escolares y datos relacionados con las pruebas de la Covid-19", advierte.
Los vectores de infección ransomware más comunes
En NCSC explica que los atacantes suelen atacar las redes de las organizaciones a través de sistemas de acceso remoto, como el protocolo de escritorio remoto (RPD) y las redes privadas virtuales (VPN), y que normalmente explotan contraseñas débiles, la falta de autentificación multifactor y las vulnerabilidades sin parchear en el software.
"Habiendo obtenido acceso inicial a una red, un atacante normalmente buscará navegar por la red, aumentar sus privilegios e identificar sistemas de alto valor, a menudo utilizando herramientas adicionales (como Mimikatz, PsExec y Cobalt Strike). También pueden intentar ocultar sus acciones para que cualquier investigación posterior sea más difícil.
"Recientemente también hemos observado a atacantes que buscan: sabotear los dispositivos de respaldo o auditoría para dificultar la recuperación; cifrar servidores virtuales completos; y utilizar entornos de secuencias de comandos (por ejemplo, PowerShell) para implementar fácilmente herramientas o ransomware", indica el NCSC.
Cómo prevenir los ataques de ransomware
Para evitar los ataques de ransomware, el NSCS recomienda en primer lugar que las organizaciones tengan procedimientos efectivos de administración de vulnerabilidades y parches para que cuando surjan nuevas vulnerabilidades puedan actualizar rápidamente las redes y el software con los parches de seguridad correspondientes.
El NCSC también sugiere que el protocolo de escritorio remoto y otros servicios en la nube estén protegidos mediante autenticación multifactor, y que se introduzcan mecanismos para ayudar a detectar y prevenir ataques de phishing. Además, aconseja que las organizaciones tengan planes para permitir una recuperación efectiva, de forma que sea posible restaurar una red encriptada con ransomware sin ceder a las demandas de rescate de los ciberdelincuentes. Según apunta, esto se puede lograr teniendo copias de seguridad sin conexión, las cuales considera la forma más eficaz de recuperarse de ransomware.