El CERT-PY recibe diariamente reportes de incidentes cibernéticos e indicadores de compromisos de sistemas paraguayos, que nos son reportados desde diversas fuentes de confianza (otros CSIRTs/CERTs, empresas y organizaciones de ciberseguridad).
Recientemente, el CERT-PY incorporó un sistema automatizado de notificaciones de Indicadores de Compromiso (IoCs), el cual permite procesar el enorme volumen de información de indicadores de compromisos e incidentes que se recibía diariamente, alertas sobre IPs paraguayas que estaban involucradas con incidentes cibernéticos de diversas índoles: malware, ataques de fuerza bruta, escaneos, botnets, etc. El volumen diario es de aproximadamente 30.000 eventos diarios, afectando a diversas IPs de diversos Proveedores de Servicio de Internet (ISPs), como ser COPACO, TIGO, Personal, Teisa, etc. Estos indicadores de compromiso son obtenidos por lo general a través del contacto de una máquina comprometido con un servidor de Comando y Control controlado por una organización de confianza, en una operación de sinkholing(*). Dicho volumen era imposible de procesar de manera manual, por lo que las alertas eran recibidas, pero no se realizaba ninguna acción con ellas.
Con el sistema construido, es posible procesar esta información diariamente, de manera automatizada, clasificar la información de todos los eventos y enviar las alertas a cada organización responsable de las IPs. Las notificaciones incluyen, como mínimo, una descripción del tipo de evento observado, la IP y el timestamp. En algunos casos, si se nos disponibiliza más información, ésta es incluida en la notificación. Por defecto, las notificaciones son enviadas por correo electrónico a la información de contacto de WHOIS de la IP afectada, por lo que es fundamental que todo Proveedor de Servicios de Internet mantenga actualizada dicha información para todos los bloques de IPs que se encuentran asignados a su organización.
Cada ISP tiene la posibilidad de actuar según su deseo como mejor le parezca, con dicha información. Se espera que, como mínimo, cada ISP sea capaz de identificar el usuario o cliente final que utiliza la IP reportada y pueda a su vez, notificarle sobre el incidente que lo afecta, brindandole instrucciones, asistencia u otro servicio de valor agregado.
Por ejemplo, supongamos que Juan es cliente de COPACO, que le provee servicio de Internet a través de alguno de sus planes. El sistema del CERT-PY notifica a COPACO que una IP está relacionada a un malware (virus informático), llamado EMOTET, por ejemplo. Con esa información, COPACO puede identificar que esa IP es la IP asignada a Juan. COPACO puede avisar a Juan que una máquina de su red está infectada con EMOTET. Adicionalmente, le podría brindar instrucciones, tutoriales u otro tipo de asistencia que le permita a Juan identificar el equipo comprometido y eliminar la infección.
Esta iniciativa forma parte del proyecto de «Sistema de Intercambio de Información de Ciberseguridad», un conjunto de mecanismos de intercambio de información relativa a amenazas de ciberseguridad. Igualmente, es una acción que busca reducir los tiempos de respuesta a incidentes cibernéticos, a través de la sistematización de los procesos y la automatización.
Para consultas referentes al sistema de notificación de incidentes e indicadores de compromisos, puede contactar a ciberseguridad@mitic.gov.py.
Referencia: