El SEPE: l’última Administració Pública víctima d’el ransomware Ryuk

/in /per

El gran ciberatac contra el Servei d’Ocupació Pública, va paralitzar l’entitat. Empleats públics afirmaven que “Estem tirant de formularis antics de prestacions que s’omplen a mà”. Aquesta és la principal conseqüència de l’atac informàtic que van patir a primera hora del dimarts 9 de març els equips del SEPE, i que van quedar completament inoperatius fins a la data.La principal preocupació era la tramitació de les noves prestacions de l’Ministeri de Treball, que estaven completament paralitzades. S’ha assenyalat que “El SEPE està sent objecte d’un incident de seguretat durant el qual s’ha vist afectada la disponibilitat dels seus sistemes d’informació i comunicacions” però afortunadament, també indica que “En cap cas, aquesta situació afecta els drets de els sol·licitants de prestacions “i de fet, han ampliat els terminis de sol·licituds. Però, com va succeir?

Phishing com a vector d’entrada

Les primeres evidències de l’atac es van detectar a primera hora d’un dimarts, tractant-se d’el conegut ransomware Ryuk, una de les variants de ransomware més notòries dels darrers anys. Des que va aparèixer per primera vegada a l’estiu de 2018, ha tingut una llista impressionant de víctimes, especialment en els entorns empresarials, que és on centra principalment els seus atacs. No hi ha dubtes que es tracta d’aquest ransomware, perquè han aparegut fitxers amb denominación.ryukUn cop instal·lat el malware en un ordinador que pertany a un objectiu dels ciberatacantes, passa a xifrar tots els arxius amb una clau secreta i s’estén a tot el sistema i generalment (encara que no sempre), mostra un missatge en pantalla en el qual indica la víctima com ingressar uns diners en moneda digital per tal de desbloquejar els seus sistemes. El vector d’atac més comú per Ryuk solen ser correus electrònics mitjançant phishing: amb URL que simulen ser legítimes perquè l’empleat introdueixi la contrasenya d’accés i així ho obtinguin els ciberatacantes per accedir als sistemes. En aquest cas, es creu que ha pogut introduir-se amb aquest mètode enganyant a un funcionari arribant a paralitzar les 170 oficines presencials i les 52 telemàtiques del SEPE. Ryuk té una lletania de trucs per entrar, guanyar persistència i xifrar els arxius de les seves víctimes. Com és el cas amb tot el ransomware, si no comptes amb les proteccions adequades i no segueixes les pautes apropiades, aquesta amenaça pot ser difícil de contenir. En el cas de el Servei Públic d’Ocupació a Espanya, els ordinadors de tots els treballadors han estat apagats i s’ha demanat ajuda als centres especialitzats, en concret a el Centre Criptològic Nacional. De totes maneres, les recomanacions en aquest cas per al SEPE són les d’aïllar un per un els nodes de xarxa afectats i anar aplicant totes les mesures de neteja de manera individual. Per si fos poc, han d’aplicar-ho tant en els sistemes amb diagnòstic clar d’infecció (aquells bloquejats amb el xifrat de l’ransomware) com els que no les han donat, però que poden estar en contacte amb els altres.