Fortinet, posible vector para el ransomware Lockbit contra Accenture
Accenture ha reconocido haber sido víctima de un ataque mediante ransomware el pasado 30 de julio en lo que han descrito como “un incidente de seguridad”. Según informa Cyberscoop, los ciberatacantes —una organización conocida como LockBit— comenzaron a filtrar parcialmente parte de los datos sustraídos y amenazaron con incrementar la publicación de la información comprometida. LockBit surgió por primera vez en 2019 y sus ciberataques mediante ransomware se dirigen fundamentalmente a grandes corporaciones, de las que espera obtener importantes recompensas. La última versión de su ransomware, LockBit 2.0, incluye el cifrado automático de dispositivos bajo Windows, lo que lo convierte en uno de los métodos de ataque más rápidos del momento. Como suele ser habitual en este tipo de ciberataques, esta primera medida se lleva a cabo como prueba para forzar el pago de un “rescate” de 50 millones de dólares a cambio de recuperar los 6 TB de datos en su propiedad y evitar su difusión. La consultora informó, por su parte, que la naturaleza del ciberataque fue menor y que en ningún caso afectó a información sensible de sus clientes.
“Los ciberatacantes accedieron a ciertos documentos relacionados con un número reducido de clientes y parte del trabajo que habíamos elaborado para ellos, aunque ninguno de ellos de contenido sensible”, sostienen en un comunicado. Desde la consultora informaron que lograron aislar el incidente y los servidores afectados, restaurando su contenido de copias de seguridad.
La VPN Fortinet, posible vía de entrada de los ciberatacantes
Pese a que el alcance del ciberataque no tuvo un gran recorrido en la afectación a clientes, Accenture sí pagó un caro peaje en lo relativo a la imagen: el incidente tuvo una gran repercusión en redes sociales, sobre todo considerando que una de las ramas en las que trabaja Accenture es precisamente la ciberseguridad. ¿Qué falló en este terreno entonces? Si bien este extremo no ha sido confirmado, se sospecha que LockBit habría aprovechado las vulnerabilidades de la VPN Fortinet.
Esta teoría es defendida por el organismo gubernamental Australian Cyber Security Centre (ACSC), que ya alertó en su momento sobre el riesgo de un ciberataque de estas características. En el informe publicado por dicho organismo se destaca que Lock Bit habría aprovechado vulnerabilidades existentes tanto en FortiOS como en FortiProxy, ambos sistemas de Fortinet. Esta vulnerabilidad está presente en la VPN SSL de la firma.
La importancia de blindar el acceso en remoto
Este ciberataque no ha hecho sino poner de nuevo en evidencia la importancia de proteger el acceso en remoto en las grandes corporaciones. Los VPN se han convertido en nuevos vectores de entrada y por ello, confiar únicamente en una conexión cifrada puede constituir un peaje muy caro a pagar en caso de vulnerabilidad. Por otro lado, la pandemia ha propiciado un cambio de hábitos que ha disparado el teletrabajo y con él la posibilidad de que los ciberataques se multipliquen.
Lo primero que debe tenerse en cuenta en la estrategia de seguridad es proteger con herramientas avanzadas de ciberseguridad los endpoints. La segunda gran medida consistirá en cifrar la conexión con una VPN de última generación e integrada con el software que protege el propio endpoint. Resulta importante contar con una sola herramienta que gestione toda la ciberseguridad del cliente pues, de esta manera, se dispondrá de un sistema permanentemente actualizado, contando con una gestión e interfaz única, y se eliminarán de forma proactiva las posibles vulnerabilidades que pudieran surgir.
Esto es lo que plantea precisamente la plataforma WatchGuard Cloud, una única solución integral de seguridad, gestionada desde la nube, que incluye todos los elementos de protección que necesita el cliente para evitar ciberataques como el padecido por Accenture. Esta plataforma pone en manos tanto del equipo de IT de la compañía como de los MSP una forma de garantizar la seguridad total, y todo ello sin necesidad de desplegar una compleja infraestructura ya que es gestionada íntegramente desde la nube. Esta barrera de defensa incluye un avanzado sandbox en la nube (Cloud Sandboxing) capaz de detectar los ataques más sofisticados, la detección de malware empleando Inteligencia Artificial, el filtrado de DNS y por descontado, una VPN integrada en todo el sistema.