Ryuk: el malware tras el ataque al SEPE
El ataque de ayer al SEPE, que hoy sabemos que tiene el sello de un viejo conocido, el malware de origen ruso Ryuk, sigue siendo uno de los temas más candentes de la actualidad. Ya han pasado 24 horas, y en este momento la infraestructura IT del Servicio Público de Empleo Estatal sigue caída. De momento es posible acceder a la home de su página web (ayer por la mañana ni siquiera esto era posible) pero, en la misma, podemos leer el siguiente mensaje:
«Por causas ajenas al SEPE la página web y la Sede Electrónica no están operativas.
Estamos trabajando para restaurar el servicio lo antes posible.
Se comunicará el restablecimiento en el momento en el que el servicio esté disponible.
Disculpen las molestias.»
No hay, de momento, estimaciones realistas de cuándo volverán a estar operativos sus servicios, y es que probablemente todavía se esté terminando de evaluar el impacto que ha tenido Ryuk en la infraestructura, aislando los múltiples segmentos de la misma e, incluso, estudiando si la vuelta al servicio se efectuará de manera gradual (primero unos servicios, después otros) o, por el contrario, la preferencia es un retorno global del mismo completamente operativo y con todos los servicios disponibles.
Sea como fuere, y a diferencia de lo ocurrido el año pasado con ADIF (seguimos esperando explicaciones), el SEPE sí que se está mostrando más comunicativo, ayer mismo pudimos escuchar algunas declaraciones de sus representantes en diversos medios de comunicación, y el propio Gerardo Gutiérrez, director del SEPE, ha confirmado que el ataque tiene la firma de Ryuk, algo que se apoya en las declaraciones de algunos empleados que, a primera hora (antes de que se apagaran todos los equipos) encontraron archivos con la extensión RYK, característica de este malware.
Según las declaraciones oficiales, y aunque la operativa del SEPE permanece fuera de servicio, los sistemas de pagos no se han visto afectados, por lo que desempleados y personas en situación de ERTE seguirán recibiendo sus ingresos con normalidad aún cuando todavía no se haya restablecido el servicio. Esto nos invita a pensar que los sistemas de gestión de los pagos están aislados de los que se emplean para la operativa de expedientes y que, por lo tanto, Ryuk no habría podido saltar de unos a otros, afortunadamente.
Mejor noticia aún es que, también según Gutiérrez, no se habría producido exfiltración de los datos secuestrados, algo que resulta consistente con el conocimiento que tenemos sobre ataques previos llevados a cabo con Ryuk. Que los datos gestionados por el SEPE no hayan acabado en manos de ciberdelincuentes es algo que celebrar, pues en mi opinión, y ya lo planteé ayer, creo que era el mayor riesgo, con diferencia, al que se podía enfrentar la entidad y, por ende, todos sus usuarios.
Ryuk es un viejo conocido en nuestro país. A finales de 2019, por ejemplo, protagonizó el ataque a la empresa de seguridad Prosegur, a Everis y a la Cadena Ser y más o menos en las mismas fechas, como contaba Panda Security, varios ayuntamientos se vieron afectados y extorsionados por este malware. En el plano internacional, fueron sonados los efectos que provocó en el mayor grupo petrolero de México, Pemex.
Dadas estas circunstancias, y que según los responsables del SEPE la última copia de seguridad de los activos secuestrados era del lunes, parece factible que la entidad pueda recuperarse del ataque de Ryuk sin tener que pagar rescate, restaurando el contenido de las copias de seguridad. No obstante, hay que recordar que uno de los puntos fuertes de Ryuk es su persistencia, que cuenta con múltiples herramientas para intentar prevalecer en los sistemas infectados aún cuando éstos sean sometidos la labores de desinfección.
Para lograr una total desinfección de su infraestructura, el SEPE tendrá que aislar los nodos de su red, e ir aplicando todas las medidas de limpieza uno por uno, en todos los sistemas potencialmente afectados, tanto aquellos que ya hayan dado señales de la infección (es decir, aquellos cuyo contenido ya se ha cifrado), como los que no las han dado, pero han estado en contacto con los que sí. Recordemos que basta con que un sistema siga infectado por Ryuk, en estado latente, para que pueda replicarse la infección global a partir del mismo.
No hablamos, por tanto, de un trabajo de horas, dado el tamaño del SEPE y sin conocer el total de recursos con los que cuenta para enfrentar esta situación, es posible que ni siquiera de días. Una previsión optimista podría señalar el lunes de la semana que viene para la restauración de gran parte del servicio, pero no debemos olvidar el problema que mencionamos ayer: la obsolescencia del parque informático del SEPE, algo que sin duda ralentizará las operaciones.
La situación, en resumen, no es buena, pero podría ser mucho peor. El servicio del SEPE permanecerá comprometido un tiempo, y habrá que esperar a ver la incidencia, así como el tiempo que transcurre hasta la recuperación total del servicio. ¿En positivo? Que Ryuk no exfiltra datos y, por lo tanto, la información del SEPE no habría caído, al menos en principio, en manos de los ciberdelincuentes, algo que resulta, sin duda, muy tranquilizador.
Sea como fuere, lo que sí que cabe esperar es que este golpe asestado con Ryuk sirva como catalizador para que no solo el SEPE, sino en general administraciones y entidades públicas, recuerden que tienen el compromiso de velar por su seguridad, que al final es la nuestra, la de los ciudadanos, y actúen en consecuencia.
