Pasadas 48 horas desde que sucediera el gran ciberataque contra el Servicio de Empleo Público, la entidad sigue paralizada. Empleados públicos afirman que “Estamos tirando de formularios antiguos de prestaciones que se rellenan a mano”. Esta es la principal consecuencia del ataque informático que sufrieron a primera hora del martes 9 de marzo los equipos del SEPE, que están completamente inoperativos hasta la fecha. Por el momento la página web de la institución está caída y se desconoce cuándo se restablecerá el sistema.
La principal preocupación ahora es la tramitación de las nuevas prestaciones del Ministerio de Trabajo, que están completamente paralizadas. Se ha señalado que “El SEPE está siendo objeto de un incidente de seguridad durante el cual se ha visto afectada la disponibilidad de sus sistemas de información y comunicaciones” pero afortunadamente, también indica que “En ningún caso, esta situación afectará a los derechos de los solicitantes de prestaciones” y de hecho, han ampliado los plazos de solicitudes. Pero, ¿Cómo ha sucedido?
Phishing como vector de entrada
Las primeras evidencias del ataque se detectaron a primera hora del martes tratándose del conocido ransomware Ryuk, una de las variantes de ransomware más notorias de los últimos años. Desde que apareció por primera vez en verano de 2018, ha cosechado una lista impresionante de víctimas, especialmente en los entornos empresariales, que es donde centra principalmente sus ataques. No hay dudas de que se trata de este ransomware, porque han aparecido ficheros con denominación.ryuk
Una vez instalado el malware en un ordenador que pertenece a un objetivo de los ciberatacantes, pasa a cifrar todos los archivos con una clave secreta y se extiende a todo el sistema y generalmente (aunque no siempre), muestra un mensaje en pantalla en el que indica a la víctima cómo ingresar un dinero en criptomonedas con el fin de desbloquear sus sistemas. El vector de ataque más común para Ryuk suelen ser correos electrónicos mediante phishing: con URLs que simulan ser legítimas para que el empleado introduzca su contraseña de acceso y así lo obtengan los ciberatacantes para acceder a los sistemas. En este caso, se cree que ha podido introducirse con este método engañando a un funcionario llegando a paralizar las 170 oficinas presenciales y las 52 telemáticas del SEPE.
Ryuk tiene una letanía de trucos para entrar, ganar persistencia y cifrar los archivos de sus víctimas. Como es el caso con todo el ransomware, si no cuentas con las protecciones adecuadas y no sigues las pautas apropiadas, esta amenaza puede ser difícil de contener. En el caso del Servicio Público de Empleo en España, los ordenadores de todos los trabajadores han sido apagados y se ha pedido ayuda a los centros especializados, en concreto al Centro Criptológico Nacional. De todos modos, las recomendaciones en este caso para el SEPE son las de aislar uno por uno los nodos de red afectados e ir aplicando todas las medidas de limpieza de manera individual. Por si fuera poco, han de aplicarlo tanto en los sistemas con diagnóstico claro de infección (aquellos bloqueados con el cifrado del ransomware) como los que no las han dado, pero que pueden estar en contacto con los otros.
¿Cómo atacar al Ransomware?
Ciertamente el ransomware es una amenaza muy presente y muy difícil de contener si no cuentas con las protecciones adecuadas y si no sigues las pautas apropiadas. Las buenas prácticas en ciberseguridad entre los empleados juegan un papel importante, ya que así se reducirán las posibilidades de que caigan en las trampas del phishing, como ha podido ocurrir con el SEPE.
Panda Security, a WatchGuard Brand, aborda este problema con una combinación de protección avanzada en el endpoint en su solución Adaptive Defense 360, con sus capacidades de EDR, su monitorización de todos los endpoints en el sistema y su servicio de clasificación del 100% de los procesos.
Además de extremar las precauciones ante posibles emails de phishing, es vital contar con una protección avanzada para evitar que las ciberamenazas lleguen a los buzones de los empleados. Panda Email Protection proporciona una protección multicapa contra todo tipo de spam y malware en tiempo real. La tecnología de escaneo avanzado se realiza desde la nube y permite una gestión simplificada de la seguridad, y que puede realizarse a cualquier hora y desde cualquier lugar con solo acceder a la consola web.
De este modo, serás capaz de parar cualquier amenaza antes de que pueda ejecutarse, incluso los ataques más avanzados, como Ryuk, y evitar que la actividad de cualquier empresa o entidad se paralice.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
