Las instituciones españolas, en el punto de mira del peligroso 'ransomware' ruso Ryuk

El virus, de origen ruso y con capacidad para cifrar la información de los equipos en los que penetra, es un viejo conocido de las empresas nacionales. Entre 2019 y 2020 causó problemas a firmas como Everis, Prosegur o Prisa Radio . Y, ahora, parece que ha puesto el punto de mira en las instituciones españolas; en concreto, en las que están bajo el paraguas de la ministra de Trabajo, Yolanda Díaz .

En conversación con ABC, el ministerio niega de forma tajante que los cibercriminales detrás de la infección de sus sistemas hayan solicitado un rescate y que desde ayer «no ha habido ninguna novedad» al respecto. Asimismo, señalan que, por el momento, no hay evidencia alguna de que se trate de una nueva fase del ciberataque que sufrió el SEPE el pasado marzo.

«Para saber si los ataques del SEPE y el Ministerio de Trabajo están conectados habría que saber cómo funcionan sus infraestructuras, si están conectadas y los criminales han podido llegar hasta allí. Aunque si tenemos en cuenta la cercanía en el tiempo de los ataques, que ha sido el mismo grupo el que podría haberlo lanzado, y que se ha utilizado el mismo tipo de 'malware' (virus informático) no cabe duda de que hay muchas similitudes», explica a ABC Dani Creus, jefe de investigación de Kaspersky, a este respecto.

En la misma línea se movía ayer en conversación con este periódico José de la Cruz, director técnico de la empresa de ciberseguridad Trend Micro: «Hasta el momento no ha quedado claro que es lo que consiguieron los atacantes detrás de esa acción. Pero cabe esperar que si han conseguido algo o tuvieron algún tipo de éxito, o bien son los mismos que están replicando el caso del SEPE o bien son otros que han visto la oportunidad. Que piensan que si pueden atacar a un ministerio que tiene un impacto muy grande seguramente puedan conseguir un beneficio elevado».

Ryuk es un 'ransomware' de origen ruso que fue desarrollado en 2017 por el grupo cibercriminal Grim Spider , uno de los «más veteranos y expertos», según señala el jefe de análisis de Kaspersky. «Su único afán es el lucro económico. El ataque a Trabajo puede deberse a que se hayan encontrado con una nueva vulnerabilidad y hayan decidido explotarla. A ellos les da igual atacar a un ministerio u a otro objetivo. Ellos lo que ven es una entidad grande a la que pueden hacer mucho daño, por lo tanto, el pago puede ser más grande», apunta Creus.

El objetivo de los ataques de tipo 'ransomware', efectivamente, siempre es el mismo: conseguir poner a la víctima en una situación límite para que pague el rescate para recuperar el control de sus equipos . Durante los últimos meses, se ha vuelto habitual que los cibercriminales recurran, además, al robo de datos antes de desencadenar el cifrado para tener otra herramienta con la que extorsionar.

Según la firma de seguridad Chainalysis, en 2020 las víctimas de estas extorsiones desembolsaron, de media, cerca de 100.000 euros hasta un total de alrededor de 290 millones, un 311% más que en 2019. En 2021 la tendencia sigue al alza, algunos grupos cibercriminales están solicitando rescates que se mueven en torno a los 50 millones de dólares . Todo depende de la capacidad económica de la víctima y de las habilidades de negociación.

Teniendo en cuenta el claro objetivo económico de este tipo de ataques, los expertos en ciberseguridad se muestran sorprendidos porque, en el caso del Ministerio de Trabajo, según se sostiene, no se haya solicitado hasta el momento el pago de un rescate. «Esto es muy curioso y muy significativo. Viendo las prácticas y técnicas del grupo que está detrás, no hay duda de que siempre ha habido afán de lucro. No me cuadra que no pidiesen rescate», señala Creus.