¿Conoces Ryuk? El ransomware del ataque contra el SEPE 

El SEPE ha tomado en estos últimos meses un gran protagonismo por ser el gestor de las prestaciones del gran número de ERTEs causados por la pandemia. Sin embargo estos últimos días también ha pasado a ser noticia por ser víctima de un ciberataque que ha bloqueado su funcionamiento. Entre las investigaciones, que buscan del origen del ataque, ha aparecido un nombre: Ryuk, que parece ser el causante de tal situación. ¿Qué sabemos de Ryuk, el software malicioso usado en el ataque contra el SEPE?

Las consecuencias del ataque contra el SEPE

El pasado martes 9 de marzo empezó el ciberataque contra el SEPE. Esto provocó que dejasen de funcionar la web, el correo electrónico, los sistemas y el procedimiento de solicitud de citas para hacer trámites. De rebote, la falta de funcionamiento informático provocó el cierre de las 710 oficinas que proporcionan servicio presencial y las 52 que lo hacen telemáticamente.

Hay que tener en cuenta que estos ataques no solo afectan a la estructura de la organización, sino especialmente a sus usuarios.

Esta situación ha hecho aflorar los problemas de seguridad que sufre el SEPE. En este sentido el sindicato CSIF ha recordado las reclamaciones de inversión hechas para actualizar un sistema con una antigüedad media de 30 años. Además la página web no disponía de certificado de seguridad SSL, al haber sido instalado de forma incompleta ese mismo 9 de marzo.

En estos momentos la web del SEPE continúa encabezada por un aviso en que se informa que aún no han restaurado los servicios prioritarios, haciendo referencia al incidente de seguridad.

Ransomware: el tipo de ciberataque que ha sufrido el SEPE

El tipo de ataque sufrido es ransomware, consiste en bloquear el acceso a la propia información de una organización y pedir un rescate para recuperarla. Generalmente se solicita el importe en criptomonedas y puede ser negociable. Sin embargo, el director general del SEPE, asegura que nadie ha pedido un rescate para recuperar la información. En este caso las intenciones pueden ser otras ya que una vez bloqueada la información resulta lógico pensar que se va a pedir algo a cambio.

No es posible conocer por donde ha entrado este ataque pues las posibilidades pueden ser variadas. Un enlace malicioso en un correo electrónico es la vía más fácil.  Sin embargo, otras posibilidades de entrada pueden ser: el sistema operativo, una conexión remota o contraseñas débiles de los usuarios de la red interna.

Parece ser que en el caso de ransomware que está sufriendo el SEPE se ha realizado a través de Ryuk, un software malicioso bien conocido en el mundo de los ciberataques.

Ryuk, el ransomware que ha atacado el SEPE

Existe constancia de este ransomware desde el año 2018. Ha causado numerosos incidentes informáticos en otros países. En el caso de España, es el primer gran ataque del que se tiene noticia. Su estructura ha ido evolucionando, puesto que el Ryuk del año 2018 ya no es el mismo que el del 2021. Después de obtener los accesos en la red, Ryuk utiliza el malware informático Trickbot para instalarse en los servidores de una red. Trickbot puede superar muchas herramientas antivirus e inutilizar redes de ordenadores.

Generalmente todo empieza con un ataque de phishing en que se envía un mensaje con un enlace malicioso o un con un archivo con malware adjunto. Una vez Ryuk ha entrado en el sistema cifra los datos almacenados.

Historial de ciberataques del ransomware Ryuk

El historial de Ryuk en otros países demuestra su efectividad. Estados Unidos es uno de los territorios afectados. Entre 2018 y 2019 se pagaron 61 millones de dólares en rescates relacionados con este ransomware. Ryuk tiene como objetivo grandes organizaciones, públicas o privadas, que pueden pagar grandes sumas por recuperar su información.

En 2018 un ataque de Ryuk paro temporalmente la publicación del periódico Los Angeles Times y otras publicaciones del país. El ataque bloqueó los softwares de impresión y, en algún caso, hasta el teléfono. En octubre de 2020 la consultora de IT francesa Sopra Steria también sufrio un ataque de Ryuk. El precio para restablecer la información fue de entre 47 y 59 millones de dólares.

Los datos médicos son otro gran botín para los hackers y Ryuk no hace excepción. Entre 2019 y 2020 se atacaron hospitales de Estados Unidos, el Reino Unido y Alemania. En estos casos, los cibertataques bloquearon los accesos a la información de los pacientes, dificultando sus tratamientos.

Este ransomware también ha afectado a numerosas escuelas de Estados Unidos. Se calcula que han sido unas 1000.

Después de tal historial internacional, el ataque al SEPE ha supuesto el primer gran caso perpetrado por Ryuk en España.

Todos podemos ser víctimas de un ciberataque

Este ataque contra el SEPE y otras organizaciones con el ransomware Ryuk demuestra la falta de medidas de ciberseguridad robustas. Hay que tener en cuenta que estos ataques no solo afectan a la estructura de la organización, sino también a sus trabajadores, usuarios o clientes. Todos podemos ser víctimas.

Ante esta inseguridad hay que extremar las medidas de de ciberseguridad y saber cómo reaccionar en caso de ser víctima de ciberataques.

Cómo expertos en ciberseguridad, desde ESCUDA podemos ayudar a la prevención, a minimizar el riesgo y, en caso de ciberataque a reaccionar con prontitud para moderar sus consecuencias. Si quieres más información puedes llamar al 931 931 848 o rellenar este formulario.

Fuentes: Hispasec, Wikipedia, Trickbot y Nius diario

Más información:

10 terminos de seguridad para las empresas ¿Los conóces?

La AEPD publica unas interesantes recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo.

#escuda #ciberataque #ransomware #SEPE #Ryuk #criptomoneda #proteccióndelaInformación #proteccióndedatos