Historias reales: Mi web ha sido atacada por un grupo Yihadista

Publicado el 18/03/2015, por INCIBE
Historia real

Alejandra sale de una reunión con un gran distribuidor que puede dar el impulso definitivo a su negocio de camisetas. Desde que puso en marcha su web para venta online hace cinco años, son muchos los clientes que ha ido ganando. Observa su móvil y ve que tiene 10 llamadas perdidas desde su oficina y un mensaje, algo grave había pasado.

 

Nos han llamado clientes, dicen que no pueden acceder a la web. ¿Cómo? ¿Qué ha pasado? Dicen que les aparece un aviso de que la web ha sido comprometida. Esperad voy para allá.

Alejandra, se queda de piedra. La venta online, su principal fuente de beneficios, ¿se ve paralizada porque la web está comprometida? pero ¿por qué? ¿Qué ha pasado? ¿Qué es eso de comprometida? Abre el navegador de su móvil, intenta acceder a su web, pero no puede. Le aparece el siguiente mensaje: «Este sitio puede haber sido comprometido». «¡No puede ser!» se repite Alejandra.

Advertencia: visitar este sitio puede dañar tu equipo

Una vez llega a su oficina, junto con sus colaboradores, intentan acceder a la web. El mismo aviso vuelve a aparecer. A pesar de que el aviso les indica: «Advertencia: visitar este sitio puede dañar tu equipo», de manera totalmente imprudente, ya que Alejandra no es consciente de los riesgos que puede correr visitando un sitio infectado, deciden acceder la web para ver que ha ocurrido y eligen la opción: «continuar de todos modos».

Una vez dentro de su portal, todos se quedan aterrorizados viendo la imagen que aparece como portada de su web.

Alejandra exclama: « ¿nuestra web ha sido atacada por un grupo Yihadista? ¿Cómo es posible?» Inmediatamente se pone en contacto con la empresa que gestiona su portal web para solucionarlo. Mientras, María, responsable de publicar contenidos en el portal web, se pone en marcha para realizar los trámites y poner una denuncia ante las fuerzas y cuerpos de seguridad del estado.

María, espera nerviosa a que Alejandra termine de hablar con la empresa que gestiona la web.

- Alejandra – Ya está el equipo web gestionando este problema, esperemos que lo resuelvan lo antes posible. ¿Qué querías comentarme María?

- María – No sé si tiene que ver, pero la semana pasada recibí un mail de un supuesto proveedor quería colaborar con nosotros y me adjuntaba una propuesta que nunca llegue a ver bien porque no era un PDF.

- Alejandra - ¿Qué no era un PDF?

- María – No, parecía un PDF, pero cuando lo abrí no se veía nada. Desde entonces el ordenador va algo lento.

- Alejandra – Bueno, cualquier precaución es poca. Avisaré también a la empresa que nos lleva el servicio técnico de los ordenadores para que le echen un vistazo. Nunca se sabe…

El equipo técnico revisó y analizó con un antivirus el equipo de María, y el resto de equipos de la empresa. Muchos de los equipos estaban infectados por un troyano.

¿Qué ha ocurrido?

Este es un caso que, técnicamente recibe el nombre de defacement. Es un ataque usado por ciberdelincuentes cuyo objetivo es modificar una página web total o parcialmente. En la mayoría de las ocasiones suelen modificar textos o incluir imágenes llamativas en la página principal de la web víctima de este tipo de ataques. Las motivaciones pueden ser varias, pero el principal denominador común es que tienen carácter reivindicativo (político, sociocultural, publicidad de un grupo de ciberdelincuentes,…) buscando dañar a su vez la imagen de la entidad atacada (empresa, gobierno, país, etc.), incluso en algunos casos también tienen motivaciones económicas.

¿Cómo llegaron hasta la web? En este caso engañaron a María haciéndose pasar por un proveedor y con una supuesta propuesta que resultó ser un archivo que tenía un malware. Como María publicaba en el portal web con su cuenta desde ese ordenador, los ciberdelicuentes pudieron robar sus credenciales de acceso al panel de administración del gestor de contenidos de la web.

En este tipo de casos, suele ser habitual que en los ciberdelincuentes realicen tanto el engaño como el robo de credenciales y su posterior explotación de forma masiva.

Otras vías de entrada muy comunes en este tipo de ataques, es a través de gestores de contenido (Joomla, WordPress, Drupal, etc.) desactualizados, o con módulos (plugins) antiguos o incorrectamente configurados, lo que les permite explotar alguna vulnerabilidad para modificar el contenido de la web o adquirir privilegios de administración.

Este tipo de ataques también pueden realizarse en:

  • Páginas webs desarrolladas a medida con algún tipo de vulnerabilidad.
  • Servidores web infectados por virus.
  • Páginas webs que están alojadas servidores compartidos por varios dominios, a los que el atacante accede a través de otro dominio vecino, alojado en el mismo servidor.

En muchos casos estos incidentes se resuelven de forma rápida, otros sin embargo permanecen en el tiempo hasta que el propietario del portal o un tercero lo detecta y resuelve.

DEFACEMENT Técnica usada por ciberdelincuentes para modificar una página web. Formas de ataque: Robo de credenciales mediante malware adjunto en un correo, Servidores compartidos vulnerados, gestores de contenido desactualizados, malas configuraciones en el gestor de contenidos, página web con vulnerabilidades. Motivaciones: Publicitar grupo de ciberdelincuentes, interés politico o sociocultural, desprestigiar o dañar una organización, motivación económica. Como actuar ante un ataque: denunciar ante la Policía, contactar con INCIBE, contactar con el proveedor del servicio web, realizar copia de la web, restaurar copia de seguridad previa, activar actualizar y analizar eñ equipo con el antivirus. Prevención: utilizar contraseñas robustas, realizar copias de seguridad perriódicas, realizar auditorías de seguridad, concienciar en materia de seguridad, activar actualizar y analizar el equipo con el antivirus.

¿Qué hacer si somos víctimas de un Defacement?

Si tu empresa es víctima de un defacement, estos son los pasos que deberías seguir:

  1. Denuncia lo ocurrido ante las FCSE - Fuerzas y Cuerpos de Seguridad del Estado (Policía o Guardia Civil ), para que los hechos puedan ser investigados. No todos estos casos llegan a ser esclarecidos, pero al menos servirá para poner de relevancia la problemática legislativa de estos casos y dimensionar adecuadamente la problemática de la ciberdelincuencia.
  2. El Instituto Nacional de Ciberseguridad (INCIBE), ofrece, a través del CERT de Seguridad e Industria (CERTSI), un servicio de asistencia y soporte desde el cual puedes solicitar asistencia ante un incidente de seguridad.
  3. Ponte en contacto con tu proveedor de servicios de alojamiento de tu sitio web o una empresa especializada en ciberseguridad. Puedes ver un listado de empresas especializadas en ciberseguridad en el Catálogo STIC de INCIBE.

Adicionalmente, algunas de las recomendaciones generales para intentar resolver el incidente y que debes de tener en cuenta tanto si lo tienes que corregir tú, tu equipo técnico o tu proveedor tecnológico habitual, pasan por:

  1. Antes tocar nada, realizar una copia de seguridad o incluso un clonado de los discos duros afectados, para disponer siempre de la situación inicial de partida y en caso de una investigación puedan aportarse como pruebas.
  2. Verificar si dispones de una copia de seguridad anterior al incidente de todos los datos y si es así, restaura la copia de seguridad. Valora formatear el equipo previamente.
  3. Comprobar que el antivirus se encuentra activo y actualizado y realiza un análisis de todas las máquinas que pueden haberse visto afectadas.
  4. Una vez que la web esté en la situación anterior al incidente, se debe identificar y corregir las vulnerabilidades que lo ocasionaron, para ello se debe analizar:
    • Los logs del servicio FTP, por si el acceso no autorizado ha sido por a través del mismo. Adicionalmente cambia las contraseñas.
    • El gestor de contenidos y plugins, para comprobar que están correctamente actualizados.
    • Si la web fue desarrollada a medida, contactar con el proveedor para que realice una revisión de vulnerabilidades.
    • También es recomendable realizar una auditoría técnica de vulnerabilidades a posteriori, apoyándose en herramientas de escaneo de vulnerabilidades, o en empresas especializadas.
  5. Una vez solucionado el problema, se debe solicitar la eliminación de las listas negras. Como por ejemplo ocurría en este caso: la lista de Google Safe Browsing.
  6. Ser especialmente cauteloso y revisar la seguridad tanto de los equipos y la red de tu empresa.

¿Qué hacer para que no nos suceda?

En este tipo de incidentes, la prevención es fundamental. Tener unas contraseñas robustas, mantener actualizados los sistemas o realizar auditorías de seguridad, son las principales medidas para que los ciberdelincuentes no puedan acceder a nuestras páginas web.

De forma general las principales recomendaciones para que las realices junto con el equipo técnico que gestione tu portal web pasan por:

  • Comprobar que el antivirus se encuentre activo y actualizado.
  • Utilizar contraseñas robustas (no usar palabras del diccionario, utiliza números, mayúsculas, minúsculas y símbolos con una longitud de 8 caracteres como mínimo), sobre todo para aquellas utilizadas para el acceso al panel de administración del portal web.
  • Utilizar herramientas de análisis de seguridad y vulnerabilidades y establecer periodos de revisión de revisión de seguridad del portal web.
  • Realizar periódicamente copias de seguridad del portal web, guárdalas en un lugar diferente al origen de los datos y verifica puntualmente que se realizan correctamente. Por ejemplo, restaurando una copia de seguridad y verificando los datos restaurados.
  • Definir una política de actualizaciones del gestor de contenidos que utilices.
  • Concienciar a los empleados en materia de seguridad, ellos son el punto más importante en materia de ciberseguridad. En este caso engañaron a María para que ejecutara un archivo que resultó ser un troyano. A partir de este punto se desencadenó toda la historia.

Teniendo en cuenta no sólo las pérdidas económicas que puede suponer un incidente de este tipo sino también la pérdida de imagen, aplicar estos consejos es esencial. Lamentablemente este tipo de incidentes son cada vez más habituales, por lo que toda precaución es poca. Desde INCIBE te ofrecemos diferentes materiales información que pueden ser de utilidad para ayudarte a mejorar la seguridad tu portal web. Además, si has sufrido un incidente similar, estamos aquí para ayudarte.