ciberseguridad-cibercrimen-ciberriesgos-ciber-riesgos

AEPD | Así fue, minuto a minuto, el ciberataque sufrido por Mapfre

La Agencia Española de Protección de Datos (AEPD) ha publicado este mes su procedimiento N.º: E/09159/2020 en el que recoge las actuaciones realizadas por la Agencia ante “una brecha de seguridad de datos personales por parte del Responsable del Tratamiento Mapfre España Compañía de Seguros y Reaseguros, S.A. relativa a ransomware” que se produjo el pasado 16 de agosto de 2020.

El objetivo de este procedimiento, tal y como señala la AEGPD era “determinar una posible vulneración de la normativa de protección de datos“.

“Un atacante altamente especializado empleó tiempo y herramientas muy sofisticadas para perpetrar el ataque. Para ello, entre otras, crearon una muestra específica del virus que fuera indetectable para el software antivirus que Mapfre dispone. La muestra de virus utilizada en el ataque no estaba disponible ni era conocida en VirusTotal6 el día 15 de agosto”.

AEDP

Esta es la cronología del ciberataque sufrido por Mapfre España

“En algún momento, probablemente a finales de julio, el atacante obtiene las credenciales de una colaboradora externa que accede a su puesto virtual en remoto. La hipótesis más probable es que su ordenador particular fuese infectado con un malware (seguramente tras una campaña de phishing), malware que posteriormente
capturó su contraseña cuando accedió a Mapfre.

[El 1 de agosto se produce] el primer acceso ilegítimo mediante las credenciales de una usuaria de Mapfre al puesto virtual.

[Entre el 1 y el 7 de agosto] Se producen diversos accesos desde distintos países e intentos de conexión a otros servidores y equipos para hacerse con credenciales de usuarios privilegiados.

[6 de agosto] Mediante el uso de distintas herramientas de hacking, el atacante obtiene las credenciales de un usuario privilegiado.

[7 de agosto] El atacante, mediante el uso de herramienta sofisticadas de hacking, obtiene las credenciales de un administrador de dominio.

[Del 7 al 11 de agosto] El atacante emplea diversas técnicas para analizar la red de comunicaciones, servidores de ficheros y los recursos compartidos y realiza varios intentos de ex filtración de información que son bloqueados por los elementos de seguridad
desplegados en la red de Mapfre.

[14 de agostos a las 21.04] El atacante: ejecuta remotamente el fichero “map.exe” y se inicia el proceso de cifrado en todos los equipos donde se desplego el archivo “map.exe”

[14 de agostos a las 21:11] Se identifica por monitorización el fallo de múltiples aplicaciones y se activa el protocolo establecido de Alto Impacto. Se reciben las primeras alarmas al Centro de Control General de Mapfre y una vez se tiene conocimiento se realiza un escalado de la situación.

[14 de agostos a las 21:35] Se identifica el incidente como un posible ataque de Ransomware y se dan las primeras
instrucciones para contener y evitar la propagación del ataque:
– Apagado de todos los servidores no considerados imprescindibles.
– Sacar de línea la copia de backup y aislar determinados segmentos de red.
– Cortar las conexiones desde Mapfre hacia el resto de terceras empresas.
– Limitar el número de conexiones remotas a un reducido número de usuarios”.

Dos días más tarde, ya el 16 de agosto, se notifica el ciberataque a la Agencia Española de Protección de Datos y se comienza a trabajar en la vuelta a la normalidad y no es hasta el 12 de octubre que “se da por cerrada la línea de trabajo de recuperación de puestos virtuales de proveedores”. Y ya el 28 de octubre “se comunica a la AEPD el cierre de la brecha una vez finalizado el análisis forense del incidente”.

¿Cuál es la valoración que realiza la AEPD?

“Los datos que se han visto vulnerados han sido el identificador de usuario y contraseña de acceso a los sistemas de información de Mapfre por lo que se trata de datos básicos.
El volumen de Datos se encuentra en el rango de menos de 100.
Manifiestan que el impacto fue prácticamente nulo, dado el periodo vacacional en que sucedió. Los atacantes tuvieron acceso a dos identificadores personales de usuarios, que fueron utilizados únicamente para acceder y moverse por los sistemas de la
compañía y, mediante herramientas sofisticadas de hacking, realizar el escalado de privilegios dentro de la red y distribuir el malware específicamente desarrollado para Mapfre. Esos identificadores de usuarios no tienen aplicación fuera del entorno de sistemas de Mapfre y quedaron inutilizados tras su bloqueo y el cambio de contraseñas asociadas a los mismos”.

MÁS NOTICIAS

Suscríbete a nuestra newsletter

AEPD | Así fue, minuto a minuto, el ciberataque sufrido por Mapfre

MÁS NOTICIAS

Suscríbete a nuestra newsletter

Suscríbete a nuestra newsletter