Cómo funciona Ryuk, el virus que podría ser causante del ciberataque al SEPE

El cibercrimen está azotando duramente al sector empresarial español.
Riuk se dedica al ‘Big Game Hunting’, es decir, a las grandes corporaciones.
PIXABAY

El Servicio Público de Empleo Estatal (SEPE) ha sufrido este martes un importante ciberataque que ha afectado a todas sus oficinas del territorio nacional, dejando inoperativa su web y obligando a suspender la actividad y a posponer todas las citas. Especialistas en ciberseguridad coinciden en señalar al malware Ryuk como el principal sospechoso.

Ryuk realiza ciberataques de ransomware, la clave está en su sofisticación: es un tipo de virus que funcionan como producto empresarial con el que posteriormente lanzan campañas. La peligrosidad reside en la profundidad del ataque. “Normalmente explotan las vulnerabilidades que tiene bien explotadas y saben que funcionan bien, hasta el punto de no saber qué es lo que van a encontrar”, explica Chema Cuadrado, especialista en ciberseguridad en Hiberus Tecnología

Se aloja en la infraestructura de la empresa u organización a la que ataca y se queda ahí “el tiempo necesario” para conseguir “escalar privilegios (paso lateral) y/o posiblemente robo de información”, explica Cuadrado.

Una vez el atacante obtiene los permisos para operar a su antojo, lanza el ataque e infecta y encripta todos los sistemas, exigiendo el pago de un rescate para restablecer su funcionamiento.

Este virus informático apareció en agosto de 2018 y detrás de él podría estar un grupo de cibercriminales rusos llamado Grim Spider que se dedica a lo que en el sector se conoce como ‘Big Game Hunting’, es decir, su objetivo -su ‘caza’- son administraciones públicas o grandes organizaciones y corporaciones.

En el ataque al SEPE han aparecido ficheros .ryuk, por lo que apenas hay dudas sobre su autoría. Según el experto, cuando se produce un ciberataque a gran escala como este quiere decir que “los atacantes ya llevaban un tiempo dentro de la red”, podría haber estado meses recabando información y esperando paciente a colapsar toda la organización.

No es la primera vez que Ryuk ataca a algún organismo público en España -ni fuera de ella-. En la lista de víctimas se encuentran el Ayuntamiento de Jerez o la Cadena SER en nuestro país. De hecho, en octubre de 2020, el FBI estimaba que las víctimas han pagado más de 61 millones de dólares para recuperar archivos cifrados por este virus. La mayoría de ese dinero ha sido reclamado en Bitcoin “para que rastrear las transacciones sea más difícil”, apunta Cuadrado.

¿Cómo ha podido producirse el ataque?

El SEPE es una organización de más de 6.000 empleados y cuenta con cientos de oficinas en toda España. Esto implica un campo de batalla enorme y muchas posibles grietas para que los malos hagan de las suyas. El mínimo clic erróneo puede iniciar el ataque.

El experto en ciberseguridad recuerda que hace un par de meses compañeros del sector alertaron en ‘Todo es mentira’, el programa de Risto Mejide, de que “el 99% de las páginas web de los organismos públicos no son seguras”, y en la lista se encontraba precisamente el SEPE. “Esa podría haber sido una vía de entrada para los cibercriminales”, apunta Cuadrado.

Una vez infectado y encriptado el sistema, la forma de actuar de Ryuk es dejar una ‘nota de rescate’ en un archivo llamado ‘RyukReadMe.txt’. Los especialistas han observado varias plantillas de notas de rescate diferentes, aunque el cuerpo de la plantilla es estático, con la excepción de la dirección de correo electrónico y la dirección de la billetera de Bitcoin, que pueden cambiar.

Según Crowdstrike, las direcciones de correo electrónico suelen contener una dirección en ‘protonmail.com’ y otra dirección en ‘tutanota.com’. Los nombres de correo electrónico suelen ser actores y directores misteriosos, pero también se han observado modelos de Instagram.

En cualquier caso, se pueden tomar varias medidas para minimizar el riesgo: tener todo el software de los ordenadores actualizado, tener los equipos protegidos con un software de seguridad y sensibilizar a los empleados a reconocer los ataques de phishing son elementos clave para estar protegidos.

Así sería una nota de rescate de Ryuk.
Así sería una nota de rescate de Ryuk.
Crowdstrike

¿Qué pasos debe seguir ahora el SEPE?

Un ataque como este paraliza por completo el proceso de trabajo del SEPE, lo que agravará aún más el estado de colapso que vive la institución debido a la avalancha de archivos que debe gestionar desde el inicio de la crisis sanitaria.

Lo más recomendable para solucionar el ataque es “hacer backups y restaurar la última copia de seguridad de los sistemas de la empresa u organización”, dice Cuadrado. Sin embargo, esto no es tan sencillo como apretar un botón y es un proceso que puede llevar “semanas e incluso meses”.

El problema, indica el experto en ciberseguridad de Hiberus, es que mientras tanto, al tener todo encriptado, los miembros de la organización “no pueden hacer nada, no pueden trabajar de ninguna manera”. Como es lógico, el SEPE necesita que los ordenadores conectados a su red funcionen para poder trabajar. Pero hasta que se haya eliminado la infección, se hayan restaurado las copias de seguridad y se haya parcheado el origen del ataque cualquier ordenador que se conecte a esta red podría estar en peligro.

A la vez que se recuperan todos los sistemas se debe hacer también un análisis forense -así se denomina en el sector- para “detectar dónde estuvo la brecha de seguridad lo antes posible”.

Las víctimas: los usuarios del SEPE

A pesar de que Gerardo Gutiérrez, director del SEPE, aseguraba ayer en la Cadena Ser que “los datos confidenciales están a salvo”, lo más probable es que los datos de los usuarios del organismo sí estén en peligro: “Una vez que el ciberdelicuente se aloja en la infraestructura de la empresa, si quiere, puede tener acceso a toda la información sensible que hay en ella”, apunta el experto en ciberseguridad.

En la mayoría de los casos los atacantes no se limitan a cifrar los datos, sino que se llevan una copia de toda a información para aumentar la petición del rescate.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Mostrar comentarios

Códigos Descuento