Así es Ryuk, el ransomware que ha dejado tumbado al SEPE (y que antes tumbó a otros muchos)

Ryuk1
15 comentarios Facebook Twitter Flipboard E-mail

El Servicio Público de Empleo Estatal (SEPE) ha sufrido un ciberataque que lo ha dejado tumbado. Desde este organismo han querido dejar claro que datos personales, pago de nóminas y prestaciones de desempleo o ERTES no se han visto afectados, pero otros muchos servicios sí.

El causante del problema ha sido Ryuk, un ransomware que lleva años causando estragos y que ahora ha dejado bloqueados datos y equipos del SEPE. A continuación explicamos cómo funciona este ciberataque y qué se puede hacer para evitarlo o, al menos, minimizar su impacto.

El SEPE, última víctima de un ataque de ransomware

La Central Sindical Independiente y de Funcionarios (CSI-F) indicaba en un comunicado cómo  este ataque "ha  paralizado la actividad del SEPE en todo el país, tanto en las 710 oficinas que  prestan servicio presencial, como en las 52 telemáticas".

Sepe 1

El problema, añaden, "ha  afectado tanto a los ordenadores de los puestos de trabajo como a los  portátiles de la plantilla que se encuentra teletrabajando", algo que ha provocado "el  retraso en la gestión de centenares de miles de citas en toda España, que se sumarán a la carga de trabajo de días posteriores".

La situación por lo tanto es grave, sobre todo considerando que la actividad del SEPE se ha disparado como consecuencia de la pandemia y de su impacto en el desempleo.

Fuentes internas indican que no se sabe cuándo los empleados podrán volver a poder usar los equipos informáticos afectados, incluidos los teléfonos fijos. Para avisar a los empleados tuvieron que usar sistemas de megafonía, y con los datos y equipos bloqueados, queda por ver cuándo se logrará recuperar la normalidad.

El sitio web oficial del SEPE, que tras el ataque quedó inaccesible, ha vuelto a estar disponible, aunque en versión muy limitada en funciones. De hecho, lo que han hecho es rescatar una copia guardada por Internet Archive, como algunos usuarios han apuntado en Twitter— de hecho, y que sobre todo muestra una advertencia en la que se indica que se está trabajando para mitigar el impacto del ataque en los sistemas del SEP.

Allí señalan además que esta situación no afecta a los derechos de los solicitantes de prestaciones, y "de la misma manera, no es necesario renovar la demanda de empleo. Se  renovará automáticamente o se podrá renovar una vez restablecido el  servicio sin pérdida de derechos".

El Ministerio de Trabajo ha indicado que cualquier interesado podrá solicitar más información sobre este incidente en el teléfono de atención grauito 060.

Curiosamente en este ciberaataque al SEPE no parece haberse solicitado un rescate. El director del organismo, Gerardo Gutiérrez, explicaba en el programa 'Hora 14' de la Cadena Ser que no se había solicitado el pago de ese rescate,  algo muy extraño en estas circunstancias.

También ha indicado que los expertos del ministerio están trabajando con el Centro Criptológico Nacional (CCN) para recuperar el control de los sistemas. "Los datos confidenciales están a salvo del ataque", aseguraba, y las prestaciones podrán seguir abonándose con normalidad.

Ryuk, un ransomware despiadado

Ryuk apareció por primera vez en 2018. Aunque se sospechó que tenía su origen en un grupo de hackers de Corea del Norte, indicios posteriores parecen indicar que fueron organizaciones cibercriminales rusas las responsables de su creación y gestión.

Como sucede con otros tipos de ataque de ransomware, el objetivo de Ryuk es infiltrarse en sistemas para cifrar sus datos y así hacerlos inaccesibles. Para desbloquearlos piden un rescate (en inglés, 'ransom') que normalmente se debe pagar en criptodivisas, lo que hace ese pago más difícil de rastrear.

De lo contrario, los sistemas quedan bloqueados indefinidamente, y si el grupo responsable del ciberataque ha logrado robar datos además de infectar los sistemas y bloquearlos, hay un riesgo adicional: el de filtrar los datos robados para que queden expuestos.

Como ya explicamos en el pasado, se sospecha que Ryuk está gestionado por un grupo criminal llamado Wizard Spider que tiene un grupo operativo llamado Grim Spider.

Los ataques con Ryuk normalmente se centran en grandes organismos y empresas. Los expertos en ciberseguridad de CrowdStrike explicaban cómo el proceso comienza con un ataque dirigido —no van a por cualquiera— normalmente a través del correo electrónico. Se envía un mensaje con un malware como el célebre TrikBot, que dispone de módulos que permiten estudiar la infraestructura de red una vez la víctima cae en el engaño para propagarse aprovechando diversas vulnerabilidades en los sistemas Windows que ataca.

El fin último es el de cifrar los archivos de los equipos que se atacan, salvo en el caso de extensiones como .exe, .dll (pero sí cifra .sys o .ocx). Lo que se logra al no cifrar esos archivos es lograr que el sistema pueda seguir funcionando de forma básica en muchos casos.

De hecho las versiones más recientes de Ryuk no cifran carpetas con nombres como Windows, Chrome, Mozilla, Microsoft o Recycle.bin, y en su última versión han adoptado ciertas caracteríticas de los "gusanos" de internet, pudiendo propagarse de forma autónoma a través de las llamadas Remote Procedure Calls (RPC) de Windows. Hasta pueden llegar a equipos apagados a través de comandos WoL (Wake on LAN) para infectarlos una vez se encienden.

Además de ello, explican los expertos de Panda Security, Ryuk trata de mantenerse lo más posible creando ejecutables y lanzándolos de forma silenciosa. Todo el proceso acaba cifrando el resto de archivos de estos sistemas, a menudo cambiando extensiones de fichero (por ejemplo, de un documento .DOCX a un fichero .RYK). Los autores del ciberataque pueden dejar además un fichero de texto llamado "RyukReadme.txt" en el qeu se informa de las condiciones del rescate y de cómo obtener la clave de descifrado.

Cómo protegerse de un ataque como este: backups

Aunque en octubre de 2020 Microsoft y varias empresas de ciberseguridad asestaron un golpe importante a la botnet TrikBot y a Ryuk, está claro que no eliminaron del todo la amenaza.

Evitar un ciberataque de estas características es muy complicado, y requiere un esfuerzo proactivo importante en materia de ciberseguridad. El reconocimiento de actividad sospechosa (por ejemplo, a través de análisis de tráfico de red y también de los registros del sistema) y la actuación en estos casos suele ser complicada, y más en el ámbito de las grandes empresas y organismos que suelen tener una infraestructura muy compleja en la que viejos sistemas se mezclan con los nuevos.

Para tratar de frenar estos problemas debemos tener actualizado nuestro equipo, algo que minimiza el riesgo de que se puedan aprovechar vulnerabilidades que sí están presentes en viejas versiones de ciertos componentes y aplicaciones de nuestro sistema.

Una de las claves para poder salir (al menos parcialmente) ileso de un ataque de estas características es realizar backups o copias de seguridad frecuente de los sistemas. Hacerlo permite que en caso de que nuestro equipo quede bloqueado podamos recuperarlo con la última copia de seguridad realizada.

Esas copias deben estar además fuera del alcance de la red a la que se conectan los empleados de esa empresa: es buena idea usar por ejemplo discos duros externos que solo conectaremos al equipo cuando se realicen esas copias de seguridad.

Comentarios cerrados
Inicio