Lo que la brecha global de CDK puede enseñar a los ISV de Windows

El 18 de junio de 2024, CDK Global, un proveedor de SaaS que suministra software de ventas, servicios, financiación y seguros a casi 15.000 concesionarios de automóviles norteamericanos, sufrió un ciberataque masivo ejecutado por la banda de ransomware BlackSuit que cifró archivos y sistemas críticos. BlackSuit exigió un rescate a CDK Global a cambio de los datos cifrados de los clientes.

El^{19 de} junio, CDK Global apagó sus sistemas informáticos e inició los esfuerzos para recuperarse del ataque. Durante esos esfuerzos, BlackSuit golpeó a CDK Global con un segundo ataque.

El cierre de CDK paralizó a los clientes de sus concesionarios, que no pudieron concertar citas de venta y servicio, registrar la entrada y salida de clientes, ni vender y financiar coches con los sistemas de CDK. Los concesionarios se vieron obligados a utilizar sistemas basados en papel durante casi dos semanas para poder realizar cualquier actividad.

El²¹ de junio, CDK Global pagó aproximadamente 25 millones de dólares en Bitcoin a BlackSuit para recuperar el control de los archivos y sistemas cifrados, pero hubo que esperar hasta^{el 4 de} julio para que todos los concesionarios de automóviles volvieran a funcionar.

Además del pago de 25 millones de dólares por el rescate, CDK Global se enfrenta a al menos ocho demandas de clientes de concesionarios de automóviles que reclaman daños y perjuicios por el ataque.

Puede que nunca sepamos exactamente cómo BlackSuit fue capaz de penetrar en los sistemas de CDK Global, pero muchas empresas de ciberseguridad han esbozado en entradas de blog el escenario de ataque más probable.

Probable escenario de ataque de BlackSuit

Según los expertos en ciberseguridad, los atacantes suelen explotar la vulnerabilidad de los sistemas informáticos de las empresas por fases.

1. Engañar a los empleados mediante phishing o ingeniería social para que instalen malware en sus ordenadores o revelen sus credenciales de usuario, de modo que los atacantes puedan conseguir un punto de apoyo inicial en el sistema de la empresa objetivo.
2. Una vez dentro del sistema, los atacantes amplían su punto de apoyo para moverse lateralmente por el sistema utilizando técnicas como el volcado de credenciales (robo de credenciales de usuario de un sistema operativo o software) y la explotación de permisos débiles (por ejemplo, cuando se permite a un usuario con pocos privilegios cambiar configuraciones de servicio) para acceder a sistemas/servidores adicionales y llegar a datos sensibles o sistemas críticos por los que merece la pena pagar un rescate.
3. Otras técnicas de movimiento lateral incluyen la explotación de vulnerabilidades del sistema, como software sin parches e infraestructuras vulnerables, para acceder a datos valiosos.

BlackSuit coordinó sus esfuerzos para explotar las vulnerabilidades de CDK, con la ayuda de una sofisticada comprensión técnica del tipo de sistemas que encontrarían durante el ataque, y las oportunidades de ataque demasiado comunes que se crean cuando una empresa no está centrada en la ciberseguridad. La experiencia y los conocimientos de los atacantes de BlackSuit les permitieron reconocer y explotar al instante las oportunidades que se escondían a plena vista en los sistemas y la infraestructura de CDK.

{{CTAEMBED_IDENTIFIER}}

¿Qué pueden aprender los ISV de Windows de la brecha global de CDK?

Además de ser un desastre financiero para CDK Global, la brecha causó interrupciones a nivel nacional en la industria de ventas y servicios de automóviles y es un cuento con moraleja para cualquier empresa de software que entregue aplicaciones a los clientes utilizando un modelo SaaS. Aunque las siguientes salvaguardas de ciberseguridad son buenas prácticas estándar, vale la pena repetirlas.

Formación de los empleados: el primer paso en la mayoría de los ataques de ransomware es enviar correos electrónicos de phishing a los empleados para engañarlos y que revelen sus credenciales. Imparte formación periódica a los empleados sobre los riesgos del phishing para reducir la posibilidad de que un atacante se introduzca en tus sistemas debido a un error de un empleado.

Tenga un plan: elabore un plan de respuesta a incidentes y revíselo anualmente. Realice "simulacros de incendio" varias veces al año para preparar al personal y a la dirección en caso de incidente. Y no olvide incluir un plan de comunicación con los clientes para poder gestionar sus expectativas durante y después de un ataque.

Controle el acceso de los empleados: mantenga fuertes controles sobre el acceso de los usuarios autorizados a los sistemas internos. Limite el acceso de cada empleado al mínimo absoluto que necesita para hacer su trabajo. Para los empleados que necesiten acceder a los sistemas internos, asegúrese de que utilizan contraseñas seguras y autenticación multifactor. Además, audite periódicamente las cuentas de usuario y cierre las cuentas antiguas que ya no se utilicen: cuanto más antigua sea la cuenta, más probabilidades hay de que tenga una contraseña fácil de adivinar y no esté protegida por autenticación multifactor.

Protocolos de seguridad mejorados: actualizar y parchear periódicamente los sistemas informáticos para cerrar las vulnerabilidades conocidas y evitar los exploits. 

Copias de seguridad periódicas: haga copias de seguridad periódicas de los datos y sistemas críticos y almacénelas de forma segura fuera de sus instalaciones para poder recuperarse en caso de ataque. Su plan de respuesta a incidentes debe incluir el proceso de recuperación rápida de las copias de seguridad para evitar dejar a sus clientes "muertos en el agua" durante mucho tiempo.

Restringir el uso del protocolo de escritorio remoto de Microsoft (RDP): Según Sophos, una empresa de ciberseguridad del Reino Unido, en el 77% de los 2023 ataques que rastrearon, se utilizó el Protocolo de Escritorio Remoto (RDP) de Microsoft® para aprovechar las credenciales comprometidas para el acceso interno o el movimiento lateral dentro del sistema. Sophos cree que RDP sigue siendo "una de las herramientas de las que más se abusa" porque viene preinstalada en la mayoría de los sistemas operativos Windows® y, antes de Windows 11, no estaba configurada con protección contra la fuerza bruta.

Para reducir el riesgo, Sophos aconseja a las organizaciones que utilizan RDP (lo que incluye a los ISV de Windows que utilizan Microsoft RDS para entregar aplicaciones a los clientes) que limiten severamente su uso. ¿Cómo? En primer lugar, asegúrese de que los clientes que utilizan Windows 11 no han desactivado la política de bloqueo de cuentas; en segundo lugar, asegúrese de que los clientes que utilizan Windows 10 y 8.1 activan la política de bloqueo de cuentas en sus equipos. O bien, puede exigir a sus clientes que desactiven RDP entre sesiones de escritorio remoto.

O...Dejar de usar RDP y RDS.

Si está utilizando RDS y RDP para entregar su aplicación Windows a los clientes, y desea eliminar los altos riesgos asociados con el uso de RDP sin tener que dictar la configuración de Windows en las máquinas Windows de sus clientes, deje de utilizar RDS y RDP.

¿Dejar de usar RDS y RDP? ¿Cómo?

Existe una solución para entregar aplicaciones Windows a clientes ubicados en cualquier lugar que elimina la necesidad de utilizar RDS y RDP.

GO-Global® proporciona sustitutos completos para la funcionalidad multisesión de Microsoft, los Servicios de Escritorio Remoto y el Protocolo de Escritorio Remoto. GO-Global sustituye RDP por RapidX Protocol (RXP), un protocolo propietario de bajo ancho de banda. Dado que RXP es de código cerrado, ofrece una defensa adicional contra los atacantes, en comparación con el protocolo de código abierto de RDP.

Para mayor seguridad, GO-Global incluye 2FA, que inutiliza las búsquedas de contraseñas por fuerza bruta y diccionario. Además, GO-Global + SSO es compatible con OpenID Connect, lo que permite a las organizaciones utilizar proveedores de identidad modernos para habilitar el inicio de sesión único en hosts GO-Global Windows.

Para solicitar una demostración de GO-Global, haga clic aquí; para una prueba gratuita de GO-Global durante 30 días, haga clic aquí.