No soy muy inclinado a crear alarmas innecesarias, pero este artículo me ha gustado por la buena descripción de una situación de ciberataque (a alto nivel, sin perderse en detalles)
No sé si os pasa, pero al no conocer en realidad lo que suelen hacer en los ciberataques hace que me suene a una amenaza abstracta, cuando conozco casos reales y lo que realmente pasa es cuando se pueden sacar lecciones.
https://thehackernews.com/2024/07/new-ransomware-group-exploiting-veeam.html
Puntos a destacar:
- Los ataques entran de maneras diversas, pero hasta productos que se supone que estan ahí para dar seguridad (VPN), si se configuran mal o hay descuidos (cuentas durmientes) son una entrada perfecta, como en este ejemplo. Pero la manera mas habitual parece ser que va mas en la ingenieria social, capturando cuentas vivas.
- Obviedades que debemos recordar: Veeam, como todo producto, tiene bugs y vulnerabilidades. Hay que mantenerse al tanto y actualizar si aparecen fallos de seguridad. No vale solo con pasar, por ejemplo, de la 12.0 a las 12.1, en medio hay parches que hay que valorar. En este caso, habia una vulnerabilidad corregida hace mas de un año, pero no la habían aplicado.
- Si el servidor de Veeam es comprometido, la cosa esta muy mal, pero no todo tiene que estar perdido. Tener al menos un repositorio inmutable no es negociable. Pero además, cuidado con las campañas de marketing, tener inmutabilidad no sirve de mucho si la gestión de usuarios o los metadatos no están protegidos… si queremos proteger el repositorio incluso contra el servidor de Veeam, también hay que protegerlo contra quien atacó Veeam. Importante disociar y separar Veeam y sus repositorios a nivel administración (NUNCA mismas cuentas ni passwords, por supuesto… valorar si la integracion con LDAP o AD es buena idea...)
No creo que haya que entrar en paranoias, pero si que hay que planificar y ejecutar con todo el cuidado del mundo.