El ransomware Ryuk ataca al SEPE
Autor: Ainoa Guillén González
¿Qué ha pasado en el SEPE? Es un tema candente y de rabiosa actualidad del que se está hablando mucho esta última semana. Hay varios puntos importantes que preocupan a la ciudadanía, como, por ejemplo, ¿Qué pasa ahora con todos esos datos? o también, otra preocupación que se ha hecho oír en todas las redes sociales ¿Esto afectará de alguna manera a los pagos de los ERTE y las prestaciones? Es importante primero entender que es exactamente un “ransomware” y porqué es tan peligroso.
Palabras clave: Ransomware, SEPE, ERTE, Ryuk, ciberataque, ciberseguridad.
Hace varios días, distintos medios informativos se hacían eco de la noticia de que el ransomware Ryuk había afectado al organismo estatal de empleo, el SEPE. Conforme la noticia se expandía y se daban a conocer nuevos datos como el suceso, comenzaron los titulares más impactantes como “Un ataque con ransomware paraliza toda la actividad del SEPE” o también “Todos los derechos reservados son ahora del ransomware del SEPE” , no ayudando mucho a mantener la calma de los ciudadanos.
Pero, para entender primero el suceso de forma técnica y objetiva, tenemos que preguntarnos lo siguiente:
¿Qué es un ransomware?
El ransomware es un tipo de malware de extorsión mediante el cual los atacantes secuestran y cifran los archivos del ordenador de la víctima.
En este sentido, el propósito de un ransomware es exigir un pago monetario, generalmente a través de bitcoins, para el rescate de los archivos. Varían según el tipo de ransomware dependiendo del cobro de la extorsión donde incluyen opciones de pago alternativas, como las tarjetas de regalo de iTunes y Amazon o bitcoins. No obstante, el pago de un rescate por los datos no garantiza que los usuarios obtengan la clave de para recuperar el acceso a los datos de la máquina infectada.
Es decir, en ransomware es un tipo de ataque malicioso cuya finalidad es obtener un lucro económico cifrando todos los archivos personales de la víctima. Estos comprenden todo tipo de documentos de interés, tales como las fotografías, los archivos de vídeo o los documentos privados. Posteriormente exigen un rescate a cambio del desbloqueo de todos los archivos.
La clave del lucro económico de los ataques de tipo ransomware reside precisamente de obtener una cantidad variable de dinero por la venta de esta clave de descifrado, pudiendo oscilar entre cifras que abarcan desde los 300 dólares hasta rescates millonarios.
Este tipo de ataque puede llegar a causar daños devastadores cuando la víctima es una empresa o una institución. El llamado “secuestro digital” de forma popular no es una nueva técnica que haya surgido recientemente, el primero de este tipo de malware data de 1989. Sin embargo, las técnicas, tácticas y procedimientos se han ido sofisticando hasta ser uno de los ataques más temidos por parte tanto de las empresas como de las instituciones.
Vale, y ahora, ¿Cuál es el ransomware que ha atacado al SEPE?
Por lo que sabemos a través de los medios que han sido difusores de las noticias, se trata de el ransomware “Ryuk”. Tal y como aclaran los compañeros de Panda Security:
“Siguiendo el modus operandi del resto de ransomware, al acabar el cifrado de los archivos de sus víctimas, Ryuk deja una nota de rescate que indica que, para recuperar los archivos, es necesario realizar un pago de bitcoins contactando con la dirección indicada.
En la muestra analizada por Panda Security, el ransomware Ryuk llegó a los sistemas a través de una conexión en remoto lograda en un ataque RDP (Remote Desktop Protocol). El actor malicioso logró iniciar sesión de forma remota. Una vez que logró iniciar la sesión, creó un ejecutable con la muestra.
El ransomware Ryuk, como otros malware, trata de quedarse en nuestro sistema el mayor tiempo posible. Uno de sus sistemas para lograrlo es crear ejecutables y lanzarlos en oculto. Para poder cifrar los archivos de la víctima, también requiere tener privilegios. Por lo general, el ransomware Ryuk parte de un movimiento lateral o es lanzado por otro malware, como Emotet o Trickbot. Estos se encargan de escalar privilegios previamente para otorgarlos al ransomware.
¿Cómo es posible que esto pase en una administración pública como el SEPE?
Para entender este caso en particular, debemos partir de uno de los principios básicos de la seguridad informática, ningún sistema es 100% seguro. Es por esto que ningún organismo o empresa está exento de sufrir un ciberataque que afecte a sus sistemas.
Ahora bien, tal y como comentábamos anteriormente en el artículo “Percepción de seguridad en la web”: A día de hoy cada vez es más frecuente interactuar en internet con las diferentes instituciones públicas a través de su página web. Desafortunadamente, también es frecuente encontrar que una gran mayoría de las webs de instituciones o servicios públicos son inseguras.
El Observatorio de Seguridad Web es un proyecto muy interesante que pretende visibilizar la falta de seguridad de las webs pertenecientes a las empresas, servicios e instituciones públicas de nuestro país. Actualmente han constatado que solo un 2% de los más de 700 sitios webs analizados hasta el momento pueden ser considerados seguros.
Por lo tanto, la ciberseguridad es un área que, si bien se encuentra en constante mejora, aún tiene un largo camino que recorrer.
Y por último, ¿Qué pasa con nuestros datos?, ¿Qué pasa con las prestaciones?
Pese a que desde el organismo han querido dejar claro que datos personales, pago de nóminas y prestaciones de desempleo o ERTES no se han visto afectados, pero otros muchos servicios sí, existe una gran incertidumbre.
El organismo lleva sin tener plena función de sus servicios y sin disponer de los datos, ya que a fecha de hoy no han logrado desencriptar la información cifrada por el ransomware Ryuk, más de diez días. Este ataque ha causado un gran impacto en la gestión de la información y pese a que los poderes públicos han indicado que no tiene porqué afectar a los pagos de las prestaciones, han tomado medidas adicionales.
Oficialmente los plazos de solicitud de las prestaciones se amplían en tantos días como estén fuera de servicio las aplicaciones, y no será necesario renovar la demanda de empleo mientras persista la situación actual.
Conclusiones
Si bien es cierto que ninguna empresa, institución o servicio está exento de sufrir un ciberataque, también es cierto que la seguridad en estos ámbitos es mejorable. Sería necesario aplicar medidas de seguridad más eficientes que logren repeler al máximo posible este tipo de ataques.
El ransomware Ryuk es uno de los que más se han hecho noticia durante 2020. A pesar de que no se trata de campañas dirigidas, han sido capaces de realizar estragos en varias empresas por todo el mundo.
Además, la concienciación de los trabajadores sobre este ámbito es muy importante, ya que los vectores de entrada más comunes de todo tipo de ataques es el correo electrónico. Mediante el uso de técnicas de ingeniería social, los trabajadores deben estar especialmente concienciados para “no caer en la trampa”:
Por lo tanto, para saber las repercusiones finales que ha tenido el ransomware Ryuk debemos esperar a ver cómo se desarrollan los acontecimientos y que repercusiones finales tiene.
Ainoa Guillén González
