Ryuk, así es el peligroso virus ruso que ha sido capaz de paralizar al «desactualizado» SEPE

«El 'ransomware' es la mayor amenaza de ciberseguridad a la que se enfrentan las empresas hoy en día y, por eso, es el tipo de ataque sobre el que más se está discutiendo en el sector de la ciberseguridad y entre sus profesionales. Los ciberataques son una amenaza muy real para las empresas de todos los tamaños y, lamentablemente, estos ataques tienen el potencial de generar tal nivel de daños en la empresa, que pueden poner en peligro su salud e, incluso, dejarlas fuera del negocio», explicaba recientemente en una entrevista con este periódico Kevin Isaac, videpresidente de la firma de ciberseguridad británica Sophos .

Ryuk no ha dejado de evolucionar con el paso del tiempo. El código que infectó al SEPE, y que se espera que siga dando problemas al organismo durante las próximas semanas, es «la última versión» de este virus, según se reconoció ayer desde la institución, y se caracteriza por su capacidad para afectar al mayor número de equipos que comparten una misma red . «Fue detectada hace unas semanas por una agencia francesa. Es una variante que funciona como un gusano. Es capaz de autopropagarse, lo que implica que se aprovecha de unidades de red compartidas y hace escaneos de los puertos abiertos para llegar a más equipos», apunta a ABC Enrique Valverde, ingeniero de la empresa de ciberseguridad Cytomic , filial de Watchguard . Su uso permitió al grupo de cibercriminales detrás del ataque dejar fuera de servicio la actividad en todo el país del SEPE, tanto en las 710 oficinas que prestan servicio presencial como en las 52 telemáticas.

Los expertos en ciberseguridad consultados por este diario destacan que, a pesar de los cambios en el código, Ryuk suele estar ligado a los ataques de doble extorsión. Esto implica que el cibercriminal que lo utiliza primero exfiltra parte de la información confidencial de la empresa u organismo que ha infectado para después cifrar los archivos y pedir un rescate a cambio de recuperar el control. La información que roba es utilizada para chantajear a la víctima con subastarla en el internet oscuro en caso de que esta no se pliegue a sus demandas. Sin embargo, en el caso del virus que atacó al SEPE, hace falta el empleo de otros códigos maliciosos para conseguir acceso a esos datos .

«Ryuk no tiene página para exfiltrar datos, cosa que Conti, su sucesor, sí que tiene», explica a ABC Josep Albors, jefe de investigación y concienciación de la empresa de ciberseguridad ESET . A pesar de ello, el experto reconoce que, durante los últimos tiempos, lo más habitual es que los ataques en los que está involucrado terminen en la filtración de datos de la institución infectada. Para conseguirlo, los cibercriminales suelen complementar el ataque con virus de tipo troyano, como el desaparecido Emotet , pensado para el robo de información bancaria. Es después cuando la cifran mediante el uso del 'ransomware' . «Son ataques multifase en los que se utilizan varias muestras de 'malware'. Una tiene un papel en una fase y la otra tiene otro papel», zanja Albors.

José de la Cruz, director técnico de la firma de ciberseguridad Trend Micro, también remarca que en el uso de Ryuk «se viene cumpliendo un patrón, que es el del robo de información». Sin embargo, reconoce que no tiene por qué ser siempre así . En el caso del SEPE, su director, Gerardo Gutiérrez afirmó ayer en conversación con este periódico que los datos de la institución no habían acabado en manos de los atacantes . «O no la han podido conseguir o los cibercriminales no la han visto interesante por tratarse de una entidad pública y han pensado que podían sacar más dinero por otro lado», apunta De la Cruz.

Por el momento el SEPE afirma que no ha recibido ninguna solicitud de rescate. Algo que sorprende, teniendo en cuenta que es otra de las señas de identidad de Ryuk. El ingeniero de Cytomic cree que puede tratarse de un rasgo de la nueva variante : «Normalmente cuando Ryuk te infecta muestra en pantalla una cuenta en la que hacer un ingreso en bitcoins (que son prácticamente irrastreables) y un par de cuentas de contacto a las que la víctima debe dirigirse para negociar con el secuestrador. Al tratarse de una nueva variante tenemos que ver cuál es el comportamiento que va a tener».

El jefe de concienciación de ESET también hace hincapié en que «en estos ataques tan dirigidos normalmente se produce una negociación entre delincuentes y víctima». «Es posible que ellos esperen un tiempo. Hasta que la víctima vea que no puede restaurar la información cifrada. Entonces es cuando se sienten en una posición ventajosa para negociar», apunta sobre el caso del SEPE.

En tiempos de pandemia la tecnología se ha convertido, en muchos casos, en la única herramienta que tienen a su disposición organismos públicos y empresas para cumplir con su cometido con normalidad. Sin embargo, cuando los sistemas no están correctamente protegidos, el riesgo de que un ciberataque tenga éxito se multiplica exponencialmente . La Central Sindical Independiente y de Funcionarios (CSIF) afirmó ayer que «las aplicaciones y sistemas informáticos (utilizados por SEPE) tienen una antigüedad media de unos 30 años». Aunque el Ministerio de Economía descartó en conversación con este diario que esa fuese la causa del incidente, los expertos en ciberseguridad alertan sobre el e norme riesgo de emplear sistemas que llevan tiempo obsoletos .

Y es que una institución que utilice aplicaciones y sistemas completamente desactualizados «es tremendamente fácil de atacar» , como señala De la Cruz: «Para los ciberdelincuentes lo más 'difícil', entre comillas, es encontrar el punto de entrada. Lo más habitual es que los ataques en los que está involucrado Ryuk entren por el correo electrónico del usuario utilizando ingeniería social. Para infectar emplean algún enlace malicioso que descargue el virus. Una vez que lo consiguen, si tienen sistemas tan antiguos como los que dicen tener lo tienen muy fácil. Esos sistemas han dejado de tener actualizaciones por parte del fabricante desde hace mucho tiempo. Y en ese mismo tiempo no han dejado de salir vulnerabilidades que no se han podido parchear».

Valverde, por su parte, destaca que las soluciones de seguridad que el SEPE tiene instaladas «son tradicionales, vulgarmente conocidas como los antivirus de toda la vida ». Incapaces de detectar un virus como el que infectó al organismo: «Estas soluciones tienen su base de datos de definiciones mediante la cual asocian el virus a una firma en concreto. Cuando tenemos ataques de este tipo con nuevas variantes del virus no existe esa firma, por lo que en el momento en el que un usuario recibe un correo y ejecuta el adjunto se ve expuesto». El ingeniero informático destaca, a su vez, que «no podemos estar protegiendo un entorno crítico como es el SEPE, especialmente en la época actual, con una solución que está obsoleta».

A pesar del creciente potencial de las amenazas en la red, muchas instituciones y empresas siguen sin tomar conciencia sobre los riesgos que implican. Así lo demuestra, por ejemplo, un reciente estudio de la empresa de seguridad Check Point, en el que se señala que el 47% de las compañías españolas no ha adoptado soluciones tecnológicas, como el cifrado de datos, para proteger la información, mientras que un 45% ni siquiera ha implementado medidas de seguridad estándar, por lo que sus datos están muy expuestos frente a cualquier ciberataque.

Respecto a las puertas de entrada de un virus como Ryuk en los sistemas de una empresa, hay varias que se pueden emplear . «Desde agujeros de seguridad y vulnerabilidades no parcheadas de los sistemas y aplicaciones que están obsoletos hasta ingeniería social enviando un correo con un adjunto que sea malicioso y se conecte a un servidor conectado por los atacantes. También pueden aprovechar ataques de fuerza bruta para robar claves y acceder a las cuentas de los usuarios o comprometer páginas web empleadas por los empleados de la empresa para que descarguen el código malicioso», explica Josep Albors.

«El factor más débil es siempre el humano. Ryuk se hizo famoso gracias al uso de ingeniería social para engañar al usuario y conseguir que lo descargue. Mediante el envío de un correo en el que se hace pasar por un tercero. Se estudia mucho el perfil del usuario al que va a ir dirigido. Si además los equipos están obsoletos tenemos dos problemas. La obsolescencia implica que un sistema tiene vulnerabilidades que no han sido parcheadas. Y eso provoca que, todavía, estemos más expuestos», remarca el ingeniero de Cytomic.