Hace unos meses fue el SEPE, y ahora, el propio Ministerio de Trabajo. El ransomware Ryuk ha vuelto a atacar al organismo dirigido por la vicepresidenta, Yolanda Díaz. Son muchos los medios que se han hecho eco del ataque y han puesto en duda la estrategia de seguridad del Ministerio y de los organismos dependientes del él, pero lo cierto es que aunque el nombre del ransomware es el mismo, la variante que ha afectado al ministerio nada tiene que ver con la que sufrió el SEPE en el mes de Marzo. Es posible que la fuente sea la misma, pero la responsable de este nuevo ciberataque es una variante diferente.
¿Por qué se sabe que no es la misma variante? Pues porque, sencillamente, se habría detectado antes de que Ryuk comenzara la infección ya que una vez que cualquier organismo sufre un ciberataque se comparte la firma del malware para que en el resto de ministerios y organismos públicos se pueda detectar el virus.
Lo malo es que, al igual que ocurrió con SolarWinds, con los ataques a Exchange o al propio SEPE, todo hace indicar que el virus llevaba varios meses ocultos. Normalmente desde que el malware empieza a infectar, hasta que se descubre la incidencia o se bloquean los equipos transcurren alrededor de nueve meses, por lo que no sería extraño que el virus empezara a circular por las redes y equipos del Ministerio allá por el mes de Octubre del pasado año.
¿Cómo funciona Ryuk?
Ryuk es uno de los ransomware que más estragos está causando en la actualidad y parece ser uno de los malware de moda. De hecho, es el preferido de los ciberdelincuentes para atacar a Administraciones Públicas. Su principal característica es que Ryuk no trabaja sólo: necesita la ayuda de otros virus para poder ejecutarse. Normalmente, su primera acción la realiza a través de un ataque de phishing basado en Emotec, un troyano que cambia su código cada poco tiempo a fin de no ser detectado por las soluciones de seguridad y que tiene la capacidad de interceptar, registrar, y guardar todo el tráfico de red.
La variante del ransomware Ryuk que ha afecatado al Ministerio de Trabajo de Yolanda Díaz es diferente de la que atacó al SEPE en el mes de Marzo
Una vez que Emotec ha realizado su trabajo, empieza el turno de Trickbot, que se encarga de los ataques laterales, entre otros, el robo de las credenciales de inicio de sesión. Una vez que ambos malware han acabado con su labor, Ryuk es el encargado de encriptar todos los datos. La gravedad de éste radica en su capacidad de infección y es que, no sólo encripta los equipos sino también la práctica totalidad de los recursos de la red. Además es hace imposible la restauración del sistema ya que desabilita esa opción en Windows, por lo que solo mediante el pago a los ciberdelicuentes permitiría la desencriptación de los datos.
El Ministerio de Trabajo no ha informado mucho acerca de la gravedad del ataque, pero si se supone que no ha pagado ya que los cibercriminales suelen hacer publicidad cada vez que alguna institución o empresa realiza un pago. Así que, ¿cuánto durarán las consecuencias de este ciberataque? El SEPE no se recuperó hasta pasadas tres semanas, pero la recuperación dependerá de los sistemas de backup que se tengan. En estos momentos, la web del Ministerio sigue presentando importantes problemas que no se han solucionado.
Mario García, director general de Check Point, cree que el problema de que se esté produciendo este número de ataques a organismos públicos es porque «faltan medios y procedimientos ágiles para poder responder a estos cibertataques, porque para los Gobiernos, hasta ahora, la prioridad no era la ciberseguridad ya que su pensamiento era que nunca les iban a atacar. Es ahora, con el aumento de los ciberataques, cuando se han dado cuenta de que se están corriendo riesgos. En mi opinión, se debería aumentar el presupuesto en ciberseguridad porque no es un problema de voluntad de los CISOs sino de presupuesto y del tiempo de reacción contra las amenazas. Detectamos que, en muchas ocasiones, se creen que con defensas estáticas pueden defenderse y hay que adapatarse a un entorno cada vez más cambiante y que tiene nuevas técnicas de ataque cada menos tiempo». Otro factor importante, según ha señalado el director general de la multinacional al que se enfrenta el conjunto de AA.PP es que el hecho de depender de concursos retrasa la implementación de las herramientas más avanzadas.
