El sistema informático del SEPE ha recibido un ataque, aparentemente, por parte de un ransomware. La página web de INEM del Estado Español se encuentra totalmente caída.
Al parecer, los trabajadores del Sistema Público de Empleo, se encontraron a la mañana con archivos maliciosos dentro de archivos compartidos que bloqueaban el acceso al software que los propio trabajadores utilizan.
Por otro lado, al parecer, el ataque también ha dejado sin funcionamiento a todos los teléfonos del SEPE.
El Ransomware Ryuk
Según algunas informaciones, los documentos aparecieron bloqueados y en ellos aparecía el nombre del ransommware Ryuk.
Ryuk es un ransomware, ya conocido, que se encarga de encriptar la documentación de grandes organismos públicos. Haciendo los datos inaccesibles, al mismo tiempo, que se exige un rescate a través de Bitcoins para poder volver a tener acceso a los mismos.
El ransomware Ryuk, apareció por primera vez en 2018 y aunque inicialmente se sospechó que era de origen norcoreano. Más recientemente se ha apuntado hacía las mafias de piratería rusas, como sus posibles creadores.
A diferencia de muchos otros piratas informáticos malintencionados, el grupo delictivo de detrás de Ryuk, busca principalmente extorsionar exigiendo un rescate para poder liberar los datos que su malware ha inutilizado mediante el cifrado.
¿Cómo funciona el ransomware Ryuk?
En el Reino Unido, el Centro Nacional de Seguridad Cibernética señala que Ryuk usa el malware informático Trickbot para instalarse, una vez que se obtiene acceso a los servidores de una red.
Ryuk, tiene la capacidad de derrotar muchas contramedidas anti-malware que pueden estar presentes y pueden deshabilitar por completo una red de computadoras; incluso puede buscar y deshabilitar archivos de respaldo si se mantienen en servidores compartidos.
Emotet también es utilizado por los piratas informáticos de Ryuk para obtener acceso a las computadoras como cargador inicial o “caballo de Troya”.
El ransomware accede inicialmente mediante campañas de phishing que contienen enlaces a sitios web maliciosos que alojan el malware o los archivos adjuntos con el malware.
Los cargadores inician la cadena de infección distribuyendo la carga útil; despliegan y ejecutan la puerta trasera desde el servidor de comando y control y la instalan en la máquina de la víctima.
Los esfuerzos de phishing generalmente contienen documentos maliciosos (o hipervínculos a ellos) y cuando la víctima lo habilita, un cargador o macro malicioso inicia la secuencia de infección.
Una vez Ryuk toma el control de un sistema, comienza a cifrar los datos almacenados, por lo que es imposible que los usuarios accedan a menos de que paguen un rescate ilocalizable mediante Bitcoins.
En muchos casos, pueden pasar días o semanas entre el momento en que los piratas informáticos obtienen acceso inicialmente a un sistema antes de que se produzca el cifrado masivo, ya que los delincuentes penetran más profundamente en la red para infligir el máximo daño.
Ryuk, es un tipo de malware especialmente pernicioso porque también encuentra y cifra las unidades y los recursos de la red; e incluso, deshabilita la función de Restaurar el sistema de Microsoft Windows para eliminar la posibilidad de la restauración por parte de la víctima.
Para combatir estos ataques de ransomware, el Comando Cibernético de EE. UU., inició un contraataque en septiembre de 2020 para desconectar a Trickbot de los servidores de Internet.
Poco después, Microsoft invocó la ley de marcas registradas para interrumpir una botnet de Ryuk, a pesar de ello; parece ser, que el ransomware sigue en funcionamiento.
Víctimas conocidas del ransomware Ryuk
Ryuk se dirige a grandes organizaciones con la capacidad de pagar importantes sumas de dinero para recuperar el acceso a sus valiosos datos. En total, se pagaron más de 61 millones de dólares en rescates debido a los ataques del malware de Ryuk en 2018-2019, según el FBI.
En diciembre de 2018, un ataque de Ryuk afectó a la publicación de Los Angeles Times y periódicos de todo el país utilizando el software Tribune Publishing.
La impresión del Fort Lauderdale Sun Sentinel en Florida se detuvo e incluso los teléfonos del periódico no funcionaron.
El 20 de octubre de 2020, una empresa de consultoría de tecnología de la información con sede en París, Sopra Steria sufrió un ataque de ransomware Ryuk.
Los ciberdelincuentes cifraron los datos de la empresa utilizando una variante de Ryuk, haciéndolos inaccesibles a menos que se pagase el rescate.
El ataque le costó a la empresa entre 47 y 59 millones de dólares.
A raíz del ataque, Ryuk fue descrito como “uno de los grupos de ransomware más peligrosos que operan a través de campañas de phishing.
Entre 2019 y 2020, los hospitales de EE. UU. En California, Nueva York y Oregón, así como en el Reino Unido y Alemania, se vieron afectados por el malware Ryuk; lo que provocó dificultades para acceder a los registros de los pacientes e incluso afectó los cuidados intensivos.
Los médicos de los hospitales afectados recurrieron a escribir todo en papel, en lugar de utilizar sus computadoras que se quedaron inutilizables.
En los EE. UU. el 29 de octubre de 2020, tres agencias del gobierno federal, el FBI, CISA y el Departamento de Salud y Servicios Humanos emitieron una declaración conjunta, advirtiendo que los hospitales de que deberían anticiparse a un aumento e inminente “ola de ataques cibernéticos de ransomware que podrían comprometer la atención del paciente y exponer información personal”, probablemente por los ataques de Ryuk.
Más de una docena de hospitales de EE. UU. se vieron afectados por los ataques de Ryuk a finales de 2020, cerrando el acceso a los registros de los pacientes e incluso interrumpiendo los tratamientos de quimioterapia para quienes padecen cáncer.
Además, se apuntan las entidades vulnerables del sector público que a menudo utilizan software más antiguo y que no siguen los mejores protocolos de seguridad informática.
Por ejemplo, en Florida, se pagó 460,000 dólares por el rescate después de que uno de sus empleados abriera un correo electrónico que contenía una variante del malware Ryuk en junio de 2019.
El ransomware se ha utilizado para atacar a decenas de sistemas escolares de EE. UU. que a menudo son deficientes en su seguridad. Desde 2019, más de mil escuelas han estado involucradas. A veces, el deterioro resultante tarda semanas en repararse.
En 2020, escuelas como Havre, Montana, hasta el condado de Baltimore, Maryland, han experimentado ataques de ransomware Ryuk.
El rescate exigido por los perpetradores ha oscilado entre 100,000 $ 377,000 o más dólares en Bitcoins.
Proveedor de educación en línea K12 fue atacado por criminales de ransomware Ryuk en noviembre de 2020, lo que hizo que algunos de los registros de K12 fueran inaccesibles y provocó la amenaza de divulgación de información personal de los estudiantes.
La firma con sede en Virginia pagó un monto de rescate no revelado y dijo: “Según las características específicas del caso y la orientación que hemos recibido sobre el ataque y el actor de la amenaza, creemos que el pago fue una medida razonable a tomar para evitar el uso indebido de cualquier información que el atacante haya obtenido”.
El gran sistema de Escuelas Públicas del Condado de Baltimore en Maryland, que atiende a 115,000 estudiantes y tiene un presupuesto de $ 1.5 mil millones, tuvo que suspender todas las clases después de que se experimentaron problemas con su red de computadoras a partir del 24 de noviembre de 2020, supuestamente debido a Ryuk.
La falla del sistema se manifestó por primera vez cuando los maestros que intentaban ingresar las calificaciones de los estudiantes se encontraron bloqueados y notaron las extensiones de archivo Ryuk.
Los funcionarios escolares del condado lo caracterizaron como “un ataque catastrófico a nuestro sistema de tecnología” y dijeron que podrían pasar semanas antes de que se complete la recuperación.
El director de tecnología de la información del sistema escolar dijo: “Este es un ataque de ransomware que encripta los datos tal como están y no accede a ellos ni los elimina de nuestro sistema”.
Antes del ataque de malware paralizante, los auditores estatales de la Oficina de Auditorías Legislativas de Maryland realizaron una auditoría periódica de la red informática del Sistema Escolar del Condado de Baltimore en 2019.
Encontraron varias vulnerabilidades en el sistema, como un monitoreo insuficiente de las actividades de seguridad, servidores de acceso público no aislado de la red interna del sistema escolar, y falta de “detección de intrusos … para tráfico no confiable”.
Avi Rubin , Director Técnico del Instituto de Seguridad de la Información de la Universidad Johns Hopkins , dijo que el descubrimiento de los auditores de “computadoras que se ejecutaban en la red interna sin capacidades de detección de intrusos” era de particular preocupación.
Aunque el informe final de la Oficina de Auditorías Legislativas de Maryland se publicó el 19 de noviembre de 2020, los auditores inicialmente advirtieron al sistema escolar de sus hallazgos en octubre de 2019.
Nos quedamos a la espera de conocer más sobre la noticia, seguro, pronto tendremos noticias del Incibe y del Ministerio español. ?