El Instituto de Investigación Sanitaria La Fe repele el ransomware con WatchGuard-Cytomic
Reto
El Instituto de Investigación Sanitaria La Fe, centro de investigación biomédica acreditado por el Instituto de Salud Carlos III, está compuesto por 55 grupos de investigación, organizados en 8 áreas y cuenta con 46 patentes vigentes. Emplea a 380 personas, entre personal investigador, de plataformas científico-tecnológicas y de gestión, y realiza trabajos que han permitido posicionar a la institución como una de las más punteras en investigación del país en materia biomédica, clínica y sanitaria; lo que también la ha convertido en blanco de los ciberatacantes.
Los datos que maneja son muy sensibles, factor que hace que la institución cuente con soluciones de seguridad de última generación que blinden su infraestructura tecnológica -300 endpoints y 22 servidores componen su parque informático-, para evitar posibles ataques y estar preparada para combatir el creciente número de ciberamenazas. Cualquier fuga de datos tendría consecuencias terribles. De hecho, el IIS La Fe ha visto como se ha intensificado la actividad maliciosa, bloqueando más de 4.000 URL con malware solo en el último año, más de 300 emails de phishing y gestionando un sinfín de alertas de otro tipo.
Solución
Para reforzar su infraestructura de seguridad confió en WatchGuard-Cytomic, instalando sus soluciones avanzadas de protección, detección y respuesta de endpoints Advanzed EPDR (antes Cytomic EPDR); WatchGuard-Cytomic Data Watch (antes Cytomic Data Watch), dotando de protección a los datos personales y sensibles; WatchGuard Patch Management (antes Cytomic Patch), que ofrece asesoramiento sobre vulnerabilidades y gestión de parches; y WatchGuard ART (antes Cytomic Insights), que recopila y correlaciona los datos aportando visibilidad en tiempo real de cualquier evento que ocurra en la red. “Necesitábamos una plataforma centralizada que automatizara la revisión y análisis de todas las incidencias de forma sencilla, rápida y ordenada, simplificando la gestión de los procesos y agilizando el parcheo de posibles vulnerabilidades para tener siempre nuestras soluciones actualizadas”, explica Javier Ripoll, responsable del departamento de Informática en IIS La Fe.
Recientemente, fue víctima de un intento de ataque de ransomware a través de una conexión de escritorio remoto de un proveedor al que hackearon el ordenador. Inmediatamente, WatchGuard-Cytomic detectó un comportamiento inusual procediendo a su bloqueo. Lanzó avisos de la existencia de CobaltStrike, un programa no deseado, y se procedió a deshabilitar a los usuarios de la empresa proveedora, a la desconexión de red de las máquinas afectadas – un total de 5 servidores- y al cambio de contraseñas de administrador, siguiendo el protocolo de seguridad y las indicaciones de la OSI.
Tras analizar todos los servidores para verificar el alcance real del incidente, se vio cómo los atacantes habían intentado desinstalar la solución Advanzed EPDR de WatchGuard, algo que no consiguieron gracias a la correcta configuración inicial de la plataforma y a la activación de la protección anti-tamper, funcionalidad que evita que usuarios no deseados o ciertos tipos de malware puedan detener los servicios o los drivers de la protección. Para activar esta función hay que configurar una contraseña maestra que se guarda en el Cloud, haciendo casi imposible que se pueda averiguar, ya que para obtenerla hay que hablar directamente con la compañía de seguridad.
Sin embargo, el atacante optó por descargar un DGAE, herramienta que sirve para desinstalar la protección cuando no se puede hacer por otra vía. Aun así, hacía falta que WatchGuard-Cytomic enviara un token con la contraseña, algo que nunca ocurrió, pues en todo momento Advanzed EPDR identificó el comportamiento como anómalo.
“Sin la funcionalidad anti-tamper activada el ataque habría sido fatal. La contraseña de desinstalación es una de las cosas más importantes. Las soluciones instaladas nos dan visibilidad 360º y vimos que los atacantes habían descargado incluso las herramientas que utilizan los técnicos de WatchGuard-Cytomic y ni con esto pudieron desinstalar su protección”, recalca el directivo.
Tras analizar todas las máquinas y copias de seguridad, se conectaron los servidores a la red, pero se continuó aislándolos con la funcionalidad que tiene WatchGuard-Cytomic para hacer un análisis más minucioso y contar con un reporte más extenso y mejor elaborado.
Se detectó lo que ya se sabía: “lo único que había sido infectado eran estas herramientas desplegadas en los equipos. Acto seguido, y por tranquilidad, se limpiaron y restauraron las
copias de seguridad, ayudando así a que no se perdiera nada del trabajo realizado, ya que el intento de ataque tuvo lugar fuera del horario laboral”, señala Ripoll, que insiste en que “se actuó así por precaución y hasta que la OSI y el CSIRT no dieron el visto bueno, no se levantaron los back-ups restaurados en los servidores”.
Las completas funcionalidades de WatchGuard-Cytomic permitieron detectar y detener todo lo que los atacantes intentaron hacer, quedando registro de todos sus pasos.
“Nos salvó que teníamos la solución perfectamente configurada desde el primer momento”, apunta Alfredo Marco, técnico a cargo de la seguridad en el IIS La Fe. “Tenemos la certeza de que nuestras bases de datos no han sido abiertas ni se ha exfiltrado ningún dato porque la consola de seguridad registra todas las pantallas de las aplicaciones que se abren y ejecutan, y esto no ha ocurrido. Aquí, WatchGuard Data Watch jugó un papel clave, aportando algo más que protección, ayudándonos a demostrar que ni un solo dato había sido vulnerado”.
Resultados
IIS La Fe salió airoso de este intento de ataque, experiencia que ha aportado importantes aprendizajes.
Los resultados logrados son obvios y podemos decir que el ataque quedó en una anécdota. “Contar con una consola centralizada que automatiza todos los procesos de detección y análisis y a la que se puede acceder con facilidad desde cualquier lugar y dispositivo para revisar alertas o monitorizar cualquier comportamiento extraño, es crítico”, comenta Alfredo Marco.
Por otro lado, desde la institución eran reacios a que la solución estuviera en la nube ante el temor de quedar expuesta a cualquiera. Este miedo desapareció al ver la gran utilidad del doble factor de autenticación a la hora de registrarse, que aporta la seguridad y la tranquilidad de que el usuario que se conecta es quién dice ser.
Otro de los beneficios guarda relación con la gestión de vulnerabilidades, que se ha simplificado y agilizado enormemente gracias a WatchGuard Patch Management. Ahora, pueden aplicar los parches de los fabricantes de forma inmediata y automatizada.
Este hecho ha servido para confirmar la importancia de conjugar herramientas potentes y escrupulosamente configuradas, con una política de contraseñas robusta, y unos protocolos de actuación previamente definidos que han demostrado ser válidos. Además de contar con un equipo experto y la coordinación con otras instituciones como la OSI y el CSIRT, para lograr que una alerta de seguridad no derivara en un incidente más grave.
“Afortunadamente, todo quedó en un susto”, recalca Ripoll. “De lo contrario, se habrían puesto en riesgo no solo producción científica o la gestión de la contabilidad presupuestaria, general y analítica, sino información relevante de muchas investigaciones, el talento y el conocimiento de un gran equipo, que es el mayor de nuestros activos. Aquí, WatchGuard-Cytomic ha jugado un papel determinante”.