Hace unas semanas, la Agencia Española de Protección de Datos (AEPD) archivó una investigación que había abierto contra la aseguradora MAPFRE por un gran ciberataque que sufrió el pasado mes de agosto. Tal y como abordamos en el blog cuando explicamos las brechas que afectaron a compañías aéreas como EasyJet o British Airways, las entidades reguladoras como el ICO británico (o en el caso de España la AEPD) tienen la potestad para sancionar con multas millonarias a las organizaciones si tras un ciberataque han quedado muchos de los datos personales de clientes expuestos.

Pero no ha sido así con MAPFRE; De hecho, la AEPD pone de relieve en su resolución que el impacto en el volumen de datos que han sido vulnerados “ha sido casi nulo y los intentos de exfiltración fueron detectados y evitados” y concluye que “la rápida comunicación con clientes, colaboradores, proveedores y empleados posibilitó una eficaz reacción contra el ataque”. Pero, ¿Qué ocurrió y cómo lo resolvió MAPFRE de manera tan diligente?

Cronología de los hechos en 10 etapas_

La propia AEPD detalla en la resolución una completa cronología de los hechos que el medio Business Insider ha recogido. En este sentido, resumimos cómo se produjo el ciberataque y la respuesta que tuvo MAPFRE en estas 10 etapas:

  • A finales de julio, el ciberatacante obtiene las credenciales de una colaboradora externa que accede a través de su ordenador en remoto. La hipótesis más probable es que fuese infectado con un malware (seguramente tras una campaña de phishing), que posteriormente capturó su contraseña cuando accedió a MAPFRE
  • El 1 de agosto tiene lugar “el primer acceso ilegítimo mediante las credenciales de una usuaria al puesto virtual de MAPRE”. En los siguientes días “se producen diversos accesos desde distintos países e intentos de conexión a otros servidores y equipos para hacerse con credenciales de usuarios privilegiados”. Esto lo consigue el 6 de agosto.
  • El 7 de agosto, el ciberatatacante obtiene las credenciales de un administrador del dominio “mediante el uso de herramientas sofisticadas”. Después, hasta el 11 de agosto, emplea diversas técnicas “para analizar la red, los servidores de ficheros y los recursos compartidos” y realiza “varios intentos de exfiltrar información bloqueados por la seguridad de la red corporativa”.
  • EL 14 de agosto, el ciberatacante se introduce en la red de MAPFRE y distribuye un archivo map.exe que utiliza una variante de ransomware conocida como Ragnar Locker. A las 21:04 horas, ejecuta el ransomware. En tan solo 7 minutos la compañía detecta fallos en varias aplicaciones y activa sus protocolos de respuesta
  • A las 21:15 se abre oficialmente el procedimiento de gestión de incidentes tras el monitoreo del Centro de Procesamiento de Datos. Cinco minutos después también se activa el Comité de Crisis de la empresa y a las 21:30 horas ya están en marcha los planes de continuidad de negocio. Además, se abre un canal de comunicación permanente entre las áreas de Seguridad y Tecnología.
  • En ese momento se diagnostica que podría ser un ciberataque de ransomware y se realizan las primeras labores de contención. Solo han pasado 26 minutos desde que se ejecutura y la compañía ya ha ordenado apagar de manera general sus dispositivos, los servidores no imprescindibles, aísla algunos segmentos de red y obtiene copias de seguridad. También cortan las comunicaciones de MAPRE con terceras empresas.
  • Llegan las primeras personas del equipo de ciberseguridad de MAPFRE a su sede corporativa a las 22:30 y el personal de Tecnología acude a su Centro de Procesamiento de Datos. A las 23:00 estos profesionales ya habían conseguido recuperar el control del correo electrónico. Pasada la medianoche, los call center de la compañía se refuerzan con personal y a las 00:45 se empiezan a recuperar puestos de teletrabajo.
  • A las 4:18 de la mañana se identifica definitivamente el ransomware, que se envía para su evaluación a analistas de ciberseguridad externos. Estos analistas responden con los datos del código malicioso y MAPFRE comienza a desinfectar sus equipos.
  • Al día siguiente, contactan con el Instituto Nacional de Ciberseguridad, con el CCN-CERT y con la Dirección General de Seguros y Fondos de Pensiones con el fin de darles detalles del ciberataque. MAPFRE publica un comunicado y remite también toda la información a la AEPD.
  • El 17 de agosto vuelven a abrir las oficinas de la compañía y se denuncia el incidente ante la Guardia Civil.

Acelerar la detección y respuesta_

Esta elogiada y rápida actuación de MAPFRE demuestra que, cuanto más temprana sea la detección y actuación sobre la amenaza, más posibilidades hay de contener y mitigar el daño que puede causar en la organización. Por eso, los SOC deben contar con soluciones de Threat Hunting avanzado, que les permitan reducir el tiempo de investigación y remediación de los incidentes.

Cytomic Orion les proporciona esa respuesta que necesitan mediante el análisis masivo de datos y la correlación con inteligencia de amenazas. Además, automatiza la detección de comportamientos sospechosos, su correlación e investigación de incidentes a través de los Jupyter Notebooks precreados y editables y su librería de Threat Hunting. De esta manera, contarán con muchas más opciones para, si son alcanzados por incidente como el de MAPFRE, minimizar su daño y volver a estar operativos lo antes posible.