Ya se ha identificado el ransomware que ha atacado al SEPE. Es un virus informático de nombre Ryuk y que tiene, en sus orígenes, una programación rusa y fue utilizado por primera vez por un grupo de ciberdelincuente de nombre Grim Spider. El INCIBE ya está detrás de la investigación del ataque
Estos últimos días el sistema informático del Servicio Público de Empleo (SEPE) se ha visto atacado, y con éxito por un ransomware de nombre Ryuk.
Aunque el origen de Ryuk se puede encontrar en el 2018 y en Rusia, hasta el momento no se sabe quién ha realizado el ataque contra el SEPE.
Es un tipo de virus que se ha utilizado, con éxito, en ataques a lo largo y ancho del mundo a empresas, pero sobre todo contra organismos gubernamentales.
Varias víctimas en España
Este virus, que secuestra el sistema informático infectado hasta que se paga un rescate, ha afectado sobre todo a ayuntamientos.
También ha sido muchos los países europeos, sus organismos públicos, los que se han visto afectados por el ataque de este ransomware, y por lo general los «secuestradores» suelen pedir un rescate en Bitcoins.
Grim Spider
Como ya hemos indicado la primera aparición de este virus se produjo en 2018, y en aquel momento, se desconoce si ahora, era una de las armas de Grim Spider, un grupo de hackers rusos.
Las «piezas» que se suelen cobrar Grim Spider son gobiernos y grandes corporaciones a las que suelen solicitar un rescate por dejar de controlar sus sistemas informáticos.
El ataque contra el SEPE demuestra que cada día que pasa los ciberdelincuentes desarrollan nuevas armas y táctica para seguir atacando a presas jugosas de las que pueden lograr un buen botín.
Una de las más recientes «brechas» de seguridad la ha sufrido Microsoft, lo cual habla bien de pericia técnica y de la bravura de los ciberdelincuentes que se atreven casi con todo, inclusive con «primeros espadas» de la industria de la informática y las telecomunicaciones.
Ayuntamiento de Jerez, la primera víctima española
Fue ese consistorio andaluz la primera víctima de este ransomware, y fue un desbarajuste tal que el ayuntamiento tuvo que volver, para realizar los trámites, al papel y al bolígrafo.
Al mismo tiempo fue necesario trasladar los trámites telemáticos por la tradicional ventanilla y el «cara a cara», con la ralentización del servicio.
Un mes más tarde la SER y la consultora Everis fueron pasto del ataque de Ryuk, y el ataque pudo ser repelido gracias a la intervención del Instituto Nacional de Ciberseguridad (INCIBE).
Se supone que el INCIBE también está detrás de la «recuperación» del sitio web del SEPE, que a estas horas ya vuelve a estar «en el aire».
Ya es pasado octubre el FBI norteamericano alertó sobre una nueva oleada de ataques con Ryuk a hospitales norteamericanos, justo en lo peor de la primera ola de SARS-CoV-2.
Operativa de un rescate
Aunque no se sabe como ha trabajado el INCIBE ante esta amenaza contra el SEPE, es muy probable que hayan efectuado lo que se conoce como una «respuesta rápida»: esa manera de trabajar pasa por aislar la parte afectada de la red informática
El segundo paso es llevar a cabo una «mitigación de la tarea» que es apagar todos los sistemas, analizar los puntos de persistencia y comenzar a recuperar máquina a máquina.
Sin embargo, aunque se haya contratacado de una manera adecuada, la posibilidad de reinfección sigue ahí, por lo que hasta que pasen unos días no hay que «echar las campañas al vuelo».
Además, el SEPE, a lo que parece, no ha perdido datos y estos tampoco han sido «secuestrados» ya que el SEPE guardaba copias de seguridad de todos esos datos por lo que pedir rescate por ellos no procede.
Además, las buenas prácticas para que un ransomware no acabe haciéndose con el control de todo un sistema informático es fraccionarlo de manera que se pueda contener una «infección» cuando solo ha afectado a una de las partes.
¿Cómo ataca Ryuk?
El ransomware, como es caso del Ryuk, lo que hace es tomar el control de los equipos informáticos, desde servidores de red a computadoras personales.
Casi el único objetivo único de los ciberdelincuentes – Grim Spider o cualquier otro – es lograr un rescate económico, y una vez que lo han logrado se han dado casos que los estafadores han llegado a borrar todos los datos.
Afortunadamente el SEPE hace copias de seguridad diarias de todos los datos por lo que en ese aspecto con recuperar el control del sistema informático será suficiente y también ha informado que el ataque no ha afectado a las bases de datos de las prestaciones.
Por lo general los ransomware y el Ryuk lo es, suelen ingresar en los sistemas informáticos es mediante correos electrónicos maliciosos, muchas veces son enlaces que nada más ser pulsados introducen el virus informático en el sistema.
Una vez que el virus ha entrado en el sistema empieza a cifrar servidores de red y ordenadores, y los ciberdelincuentes piden un rescate, normalmente con trasferencias en la darkweb, en Bitcoins y que no dejan rastro.
Una nueva amenaza
Por lo general los antivirus son solo capaces de detectar aquellos virus que tienen en su base de datos, pero evidentemente no de aquellos virus de los cuales no tiene constancia.
Y lo que parece que esta versión concreta del Ryuk fue programada pocas horas antes de infectar el sistema informático del SEPE, por lo que el ataque fue indetectable.
A pesar de que estamos hablando de un ransomware conocido como el Ryuk, estos virus se asemejan a como lo está haciendo el SARS-CoV-2, es decir están sujetos a mutaciones, por lo que un antivirus solo detectaría determinadas «mutaciones» del Ryuk.
Por otro lado, tal como ha informado el SEPE, por lo menos a día de hoy, nadie ha pedido un rescate – pagarlo sería un delito – por lo que se supone que el objetivo del ataque no sería económico sino reputacional.
Fuente – EL PAÍS / Ryuk en Wikipedia / elPeriódico / el diario
Imagen – Andrey / Pantera / Richard Patterson / Andrés Moreno / Yuri Samoilov / Mark Mathosian / Gauthier Delacroix
Hablemos de Tecnologías 