El SEPE: la última Administración Pública víctima del ransomware Ryuk

El gran ciberataque contra el Servicio de Empleo Público, paralizó la entidad. Empleados públicos afirmaban que “Estamos tirando de formularios antiguos de prestaciones que se rellenan a mano”. Esta es la principal consecuencia del ataque informático que sufrieron a primera hora del martes 9 de marzo los equipos del SEPE, y que quedaron completamente inoperativos hasta la fecha.

La principal preocupación era la tramitación de las nuevas prestaciones del Ministerio de Trabajo, que estaban completamente paralizadas. Se ha señalado que “El SEPE está siendo objeto de un incidente de seguridad durante el cual se ha visto afectada la disponibilidad de sus sistemas de información y comunicaciones” pero afortunadamente, también indica que “En ningún caso, esta situación afectará a los derechos de los solicitantes de prestaciones” y de hecho, han ampliado los plazos de solicitudes. Pero, ¿Cómo sucedió?

Phishing como vector de entrada

Las primeras evidencias del ataque se detectaron a primera hora de un martes, tratándose  del conocido ransomware Ryuk, una de las variantes de ransomware más notorias de los últimos años. Desde que apareció por primera vez en verano de 2018, ha cosechado una lista impresionante de víctimas, especialmente en los entornos empresariales, que es donde centra principalmente sus ataques. No hay dudas de que se trata de este ransomware, porque han aparecido ficheros con denominación.ryuk

Una vez instalado el malware en un ordenador que pertenece a un objetivo de los ciberatacantes, pasa a cifrar todos los archivos con una clave secreta y se extiende a todo el sistema y generalmente (aunque no siempre), muestra un mensaje en pantalla en el que indica a la víctima cómo ingresar un dinero en criptomonedas con el fin de desbloquear sus sistemas. El vector de ataque más común para Ryuk suelen ser correos electrónicos mediante phishing: con URLs que simulan ser legítimas para que el empleado introduzca su contraseña de acceso y así lo obtengan los ciberatacantes para acceder a los sistemas. En este caso, se cree que ha podido introducirse con este método engañando a un funcionario llegando a paralizar las 170 oficinas presenciales y las 52 telemáticas del SEPE.

Ryuk tiene una letanía de trucos para entrar, ganar persistencia y cifrar los archivos de sus víctimas. Como es el caso con todo el ransomware, si no cuentas con las protecciones adecuadas y no sigues las pautas apropiadas, esta amenaza puede ser difícil de contener. En el caso del Servicio Público de Empleo en España, los ordenadores de todos los trabajadores han sido apagados y se ha pedido ayuda a los centros especializados, en concreto al Centro Criptológico Nacional. De todos modos, las recomendaciones en este caso para el SEPE son las de  aislar uno por uno los nodos de red afectados e ir aplicando todas las medidas de limpieza de manera individual. Por si fuera poco, han de aplicarlo tanto en los sistemas con diagnóstico claro de infección (aquellos bloqueados con el cifrado del ransomware) como los que no las han dado, pero que pueden estar en contacto con los otros.