Ingecom y Secura muestran las claves para evitar un ransomware SEPE

El Servicio Estatal Público de Empleo, SEPE, fue víctima ayer de un cibertataque que ha dejado inutilizadas todas sus oficinas y le obligó a suspender toda la actividad del día. Todos los equipos de los empleados han permanecido apagados durante todo el día.

Todo parece indicar que el virus del ciberataque es un tipo de Ransomware. En opinión de Daniel Creus, Analista Senior del Equipo de Investigación y Análisis de Kaspersky, asegura que “los primeros indicios apuntan a la familia denominada “Ryuk” como el malware utilizado. En caso de tratarse de Ryuk, cabe destacar que recientemente ANSSI (Agencia Nacional de Seguridad Francesa) publicó un informe sobre Ryuk exponiendo una nueva y reciente técnica añadida a este ramsonware: la capacidad de propagarse por una red local de manera automática (capacidades de “gusano”). Ryuk fue identificado por primera vez en agosto de 2018 y desde entonces se ha visto siendo utilizado por diversos grupos de criminales profesionales consiguiendo un gran impacto global en diversas empresas e instituciones en distintos sectores”.

El SEPE no es el primer afectado por este ransomware. Ya lo sufrieron la Cadena SER o Prosegur en 2019

En efecto, Ryuk es uno de los virus más conocidos de los departamentos de ciberseguridad de empresas y organismos y el SEPE no es el primer afectado. Los CISOs de la Cadena Ser, Prosegur o Everis pueden dar fe de ello ya que sufrieron sus consecuencias a finales del año 2019. Como mucho del malware actuale proviene de uno de los países especialistas en la creación de software malicioso: Rusia.

La forma de actuación es idéntica a la de otros ransomware: cifra los archivos de sus víctimas y deja una nota de rescate que indica que, para recuperar los archivos, es necesario pagar una determinada cantidad en criptomonedas. Según afirman desde Panda, el virus trata de quedarse en el sistema el mayor tiempo posible. Uno de sus sistemas para lograrlo es crear ejecutables y lanzarlos en oculto. Para poder cifrar los archivos de la víctima, también requiere tener privilegios. Por lo general, Ryuk parte de un movimiento lateral o es lanzado por otro malware, como Emotet o Trickbot. Estos se encargan de escalar privilegios previamente para otorgarlos al ransomware.