Ciberataque al SEPE mediante (RaaS) Ransomware Ryuk

La infraestructura sigue sin funcionar con normalidad una semana después del ciberataque y continúan paralizados los trámites

A lo largo del año suceden ataques a mayor o menor escala, muchos pasan desapercibidos, pese a que afectan a sectores como el de la sanidad, pero lo que sucedió hace unos días en el SEPE (Servicio Público de Empleo Estatal dependiente del Ministerio de Trabajo), es de tan magnitud que ha traspasado fronteras.

Los usuarios que como cada día intentaban acceder a la web Servicio Público de empleo estatal o estuvieran en las oficinas, se encontraron con que un malware tipo ransomware, ahora sabemos que una variante final del virus RYUK, (explico más abajo en que consiste), había penetrado en los sistemas y los había inutilizado.

Las indicaciones por parte de los responsables del organismo, fueron ordenar a todos los trabajadores que apagaran sus equipos para evitar la expansión. Lo que sucedió a partir de ese momento es algo que esperábamos, no creo que le haya sorprendido a nadie del sector, (he hablado con muchos compañeros y nadie ha mostrado la más mínima sorpresa de que algo así haya podido suceder). Es lo que ocurre cuando se delega la seguridad a un segundo plano. En este caso en uno de los pilares del sistema a nivel nacional, 710 oficinas presenciales y 52 que brindan servicios de forma telemática.

Lo primero que viene a la cabeza es seguir el plan de contingencia (si es que existe), como técnico el paso principal es el respaldo de las copias de seguridad, lo segundo es rezar para que estas estén actualizadas. Por supuesto que no lo estaban, no solo se estarían utilizando copias de seguridad desfasadas, sino que se restauró parte de la web con información de archive.org (Una herramienta que permite buscar el historial de más de 549 mil millones de páginas web en Internet y capturar su contenido), que nunca debería ser utilizada para algo así. Al menos no como primer recurso.

Todas las empresas y organismos deberían tener un plan de contingencia, estas medidas de prevención de incidentes pasan por auditorias de seguridad, monitorización, límites de acceso, backup, test y actualización de los sistemas.

Pese a la situación, algunas fuentes del Ministerio de Trabajo, informaron de forma rápida a los medios de comunicación, enviando un aviso en el que recalcaban que el virus era reciente, por lo que no podían achacar el ataque al desfase de sus programas, como apuntaban sindicatos como CSIF. (Recuerdo que en 2016 se hizo un concurso público por valor de 13 millones de euros para la prestación de soporte y evolución de las infraestructuras, pero parece que fue insuficiente… ese mismo valor lo tuvo el sistema informático fiscal de Cataluña).

También la Ministra de trabajo salió en defensa de los sistemas “Nadie se ha manifestado ser responsable del atentado y el virus no ha afectado al sistema de *gestión de cobro de ERTE y prestaciones por desempleo”. “El único objetivo es dañar la reputación”. En esto estoy de acuerdo, si no hay robo de datos, el objetivo es otro, ¿dañar la reputación o indicar fallas de seguridad que pondrían en riesgo la seguridad de los datos de millones de ciudadanos?

Apuntar que si parece que el ataque vaya a afectar al cobro de las prestaciones, según el presidente del Colegio Oficial de Gestores Administrativos https://www.elcomercio.es/economia/trabajo/riesgo-retraso-pago-prestaciones-caida-informatica-20210316001814-ntvo.html

Cuando suceden ataques de este calado se investigan de forma directa por el CCN (Centro Criptológico Nacional), que depende del CNI (Centro Nacional de Inteligencia) y de los equipos informáticos del propio SEPE, voy a desarrollar un poco esta información, porque quiero que cualquier persona pueda comprender el funcionamiento de estos centros.

Hay muchos organismos que actúan para garantizar la ciberseguridad nacional, pero os voy a describir tres esenciales (independientes a los grupos de delitos de Policía Nacional o Guardia Civil), que creo deberíais conocer.

  • El CCN (Centro Criptológico Nacional). Es el organismo responsable de coordinar la acción de los diferentes organismos, para garantizar la seguridad de las Tecnologías de la información en ese ámbito y también se encarga de formar al personal de la Administración especialista en ese campo. En 2004 a través de un Real Decreto 421/2004, fue adscrito al Centro Nacional de Inteligencia (CNI).
  • CNPIC (Centro Nacional de protección de infraestructuras críticas). Este organismo es promovido por el Ministerio del Interior con la finalidad de dirigir la aplicación de un Plan Nacional de Protección y actuar como punto nacional de contacto con la Comisión Europea y con otros estados, que sean propietarios o gestores de infraestructuras críticas.
  • INTECO (Instituto Nacional de tecnologías de la comunicación). Es promovido por el Ministerio de Industria, Turismo y Comercio, siendo principalmente una plataforma para desarrollar proyectos e impulsar propuestas académicas, se supone que para formar a nivel educativo.
Edificio del Centro Criptológico Nacional CCN

Volviendo al ataque, hablemos de Ryuk

Los sistemas caídos, el CCN y CNI detrás del suceso, los políticos lavándose las manos y los técnicos buscando soluciones prehistóricas para solucionar el entuerto que ha caído del cielo.

Cada ransomware (secuestro de datos) se puede desarrollar de diferentes maneras. En esta ocasión nos encontramos con un viejo amigo con nueva cara. Ryuk apareció por primera vez en 2018. Aunque se sospechó que tenía su origen en un grupo de hackers de Corea del Norte, indicios posteriores parecen indicar que fueron organizaciones cibercriminales rusas las responsables de su creación y gestión.

Su misión al igual que otros ataques de este tipo es infiltrarse en los sistemas para cifrarlos y pedir rescates por la información secuestrada, habitualmente en Bitcoin (BTC) u otras criptodivisas como Monero (XMR). (Aunque en este caso, como comentamos anteriormente, indican que no han pedido un rescate económico). En caso de no pagarse, los datos se filtran en la darkweb para venderlos al mejor postor, aunque pueden darse ambos casos, recibir el pago y exponer los datos igualmente.

¿Qué es Ryuk y cómo funciona?

Ryuk está gestionado por un grupo llamado Wizard Spider que tiene un grupo operativo llamado Grim Spider. Normalmente centran sus operaciones en grandes empresas y organismos públicos.

El FBI reveló que más de 100 organizaciones en todo el mundo han sufrido ataques de Ryuk desde agosto de 2018.

En este caso barajamos un acceso inicial a través de un correo electrónico de phishing con un archivo PDF adjunto. El usuario abriría este archivo haciendo clic en el enlace conectando de forma directa a Google Drive y descargando un archivo llamado Esto se conoce como Bazar, que tiene diferentes componentes conocidos por la comunidad como BazaLoader, BazarLoader y BazarBackdoor.

Una vez que la víctima cae en el engaño este malware permite estudiar la infraestructura de la red, propagándose y quedando aletargado hasta el momento de su activación o directamente infectando los sistemas, aprovechándose de las vulnerabilidades que encuentra en su camino.

Su finalidad es cifrar los archivos de modo que sea imposible trabajar sobre los sistemas y bloqueando de forma parcial su capacidad. (De ahí la importancia de tener las copias de seguridad al día). Normalmente afecta a extensiones .sys, .ocx, pero puede incapacitar de forma íntegra el sistema. Es capaz incluso de llegar a equipos apagados a través de comandos como Wake on Lan, la posibilidad de encender un equipo fuera de línea, lo que provoca que este también se infecte una vez que su propietario lo encienda.

Captura de Maze, otro tipo de ransomware

¿Cómo se notifica el rescate del sistema?

En Ryuk el regalo de notificación es un “RyukReadme.txt” donde amablemente se indican las condiciones del rescate y como debe procederse para obtener la clave que descifra el sistema. Os dejo a continuación una copia de dicho archivo, donde se puede observar las indicaciones, entre ellas la wallet de BTC donde hay que enviar el pago del rescate y por supuesto las direcciones donde tienes que negociar, bajo correos seguros como protonmail o tutanota. Es importante detallar que nunca se debe pagar estos rescates, sino aplicar un plan de contingencia y sobretodo tener copias de seguridad.

¿Cómo se pueden evitar o que planes podemos tener en nuestra empresa para responder ante un ciberataque de estas características?

Me encantaría poder deciros que es evitable, pero creo que esto no es la realidad, si alguien quiere atacar un sistema de la forma premeditada como se plantean en este tipo de acciones, tener por seguro que lo conseguirán. Son grupos con mucha resilencia, una capacidad asombrosa para adaptarse a los cambios inesperados y como todos los que forman parte de la ciberseguridad… una capacidad de rendición inexistente, creerme, no pararán hasta conseguirlo, aunque tengan que cambiar de estrategias.

Es importante la monitorización de los sistemas de tu empresa, mediante análisis de tráfico de red y de registros del sistema, para ver quién entra y sale del mismo y detectar con anticipación cualquier movimiento sospechoso, que nos lleve a temer un ataque inminente a gran escala.

Es complicado controlarlo porque muchas empresas se actualizan por fases, esto quiere decir que viejos sistemas permanecen con los nuevos o que los equipos se cambian por fases, debido principalmente a la falta de inversión económica y esto es el principal escollo para contraatacar de forma efectiva.

Por ello quiero trasladar (solamente lo he dicho unas 100 veces), la importancia de tener copias de seguridad y sobretodo de que estas estén almacenadas en frío. Si tenéis las copias en el mismo equipo o dentro del mismo sistema, es complemente inútil, de igual modo es estúpido no tenerlas actualizadas. Lo recomendable es un almacenamiento en frío cifrado en discos externos, da trabajo sí, pero garantizas la seguridad de los usuarios de tu red y sobretodo de tu empresa u organismo. Al menos si te ocurre, podrás tener un respaldo efectivo y no lo que ha pasado en el SEPE, que siguen con la web antigua y sin atisbo de solución a una semana del ataque.

Me gustaría recordar o añadir, que en España durante la pandemia se han frenado o al menos se han detectado 45 ciberataques de robos de datos sanitarios siendo los últimos objetivos un importante instituto sanitario público, un laboratorio madrileño y una farmaceutica catalana.

Con esto quiero trasmitir que quizás se le esté dando menor importancia de la debida, cuando hablo con mi entorno, la mayor parte de las personas desconocen estos sucesos y no es por estar desconectados, sino que simplemente no encuentran suficiente información sobre el tema en los medios o la que llega a ellos es por desgracia insuficiente, o con falta de datos contrastados para comprender el problema real con exactitud. Es por ello que decido difundir este tipo de temas por vías libres, esperando que pueda llegar a más gente y sensibilizar sobre algo que afecta a nuestras vidas más de lo que imagináis… y esto es un simple secuestro, os aseguro que no es nada.

Espero haberos dado algunos datos nuevos o aportado algún tipo de tip de ciberseguridad, pero como es algo inevitable solo me queda deciros… ¡Que la suerte os acompañe!

A continuación enumero fuentes y documentación, que os puede servir para ampliar datos tanto sobre el virus como el caso concreto del SEPE.

Fuentes y documentación:

Agradezco unos aplausos en la parte superior (símbolo de palmas flamencas), para poder saber si os ha gustado y continuar divulgando este tipo de contenidos. ¡Muchas gracias por leerme! :)

Informática IT. Developer. Crypto. Blockchain Investor

Informática IT. Developer. Crypto. Blockchain Investor