El Servicio Público de Empleo Estatal (SEPE), fue víctima el pasado martes de un cibertataque que ha paralizado los sistemas informáticos de las 710 oficinas presenciales del SEPE, el servicio público de empleo, así como los de sus 52 departamentos que prestan servicio de forma telemática.
Los empleados recibieron orden de apagar todos los ordenadores a primera hora de la mañana como medida de precaución ante la presencia de un «virus informático» que corría por el sistema.
Pagar o perder los datos
Todo parece indicar que el virus del ciberataque es un tipo de Ransomware. Los primeros indicios apuntan a la familia denominada “Ryuk” como el malware utilizado. Este tipo de software malicioso «secuestra» la información de la empresa, impidiendo el acceso a la misma generalmente cifrándola, y solicitando un rescate a cambio de su liberación.
En caso de tratarse de Ryuk, cabe destacar que recientemente ANSSI (Agencia Nacional de Seguridad Francesa) publicó un informe sobre Ryuk exponiendo una nueva y reciente técnica añadida a este ramsonware: la capacidad de propagarse por una red local de manera automática (capacidades de “gusano”). Ryuk fue identificado por primera vez en agosto de 2018 y desde entonces se ha visto siendo utilizado por diversos grupos de criminales profesionales consiguiendo un gran impacto global en diversas empresas e instituciones en distintos sectores”.
En efecto, Ryuk es uno de los virus más conocidos de los departamentos de ciberseguridad de empresas y organismos y el SEPE no es el primer afectado. Los CISOs de la Cadena Ser, Prosegur o Everis pueden dar fe de ello ya que sufrieron sus consecuencias a finales del año 2019.
Este tipo de ataque está creciendo de forma exponencial debido a que es muy rentable para los delincuentes, entre otras cosas porque cada vez hay más dispositivos
La forma de actuación es idéntica a la de otros ransomware: cifra los archivos de sus víctimas y deja una nota de rescate que indica que, para recuperar los archivos, es necesario pagar una determinada cantidad en criptomonedas. El virus trata de quedarse en el sistema el mayor tiempo posible y uno de sus sistemas para lograrlo es crear ejecutables y lanzarlos en oculto. Para poder cifrar los archivos de la víctima, también requiere tener privilegios. Por lo general, Ryuk parte de un movimiento lateral o es lanzado por otro malware, como Emotet o Trickbot. Estos se encargan de escalar privilegios previamente para otorgarlos al ransomware.
¿Qué hacer ante un ataque de ‘ransomware’?
Si nota un comportamiento extraño en sus equipos informaticos, se recomienda:
- Interrumpir la conexión a internet rápidamente. Así, se evita que el malware se extienda a otros equipos o servicios compartidos con la misma conexión.
- Hay que realizar una limpieza de virus completa de todos los sistemas, y, si fuera necesario, reinstalar el sistema operativo del equipo. Además, se deberán cambiar las contraseñas de red y online.
- Comprobar que no hay más casos de infección y que eres el único caso de infección del ransomware.
- Restaurar tus copias de seguridad, para evitar que se alargue el tiempo de inactividad del usuario o equipo infectado.
- Y por último, no pagar el rescate, ya que no garantiza la recuperación de los archivos.
¿Cómo protegerse?
Con soluciones de ciberseguridad para reducir la exposición de riesgo y asegurar la continuidad de su negocio.
Cyber 24 Protect es un servicio de ciberseguridad creado por el Grupo Fractalia, expresamente para que las empresas puedan elevar el nivel de protección de sus clientes y su negocio de forma inmediata.
Si está interesado en este servicio contacte con nuestras oficinas comerciales.
