Las mutaciones de Ryuk: el virus que paraliza el SEPE es cada vez m¨¢s veloz y ataca incluso equipos apagados

El Servicio P¨²blico de Empleo Estatal (SEPE) es la ¨²ltima v¨ªctima de Ryuk, un virus de secuestro inform¨¢tico ¡ªransomware¡ª nacido en agosto de 2018 y manejado supuestamente por el grupo ruso Grim Spider. Pero no ser¨¢ la ¨²nica, porque es un problema dif¨ªcil de erradicar. Ryuk evoluciona constantemente incorporando nuevas habilidades que dificultan contrarrestar sus ataques, como extenderse entre equipos que ni siquiera est¨¢n encendidos, cuenta Josep Albors, responsable de investigaci¨®n de la compa?¨ªa de ciberseguridad ESET Espa?a. ¡°Desde principios de este a?o ha ido caracter¨ªsticas que le hacen m¨¢s peligroso en cuanto a su velocidad y capacidad de propagaci¨®n¡±, explica.

La amenaza de Ryuk no es indiscriminada. La evoluci¨®n reciente de los virus como el que mantiene tumbados de este martes los sistemas del SEPE retrata a grupos criminales con intereses concretos. ¡°Este tipo de ataques est¨¢ dirigido a empresas y organizaciones bastante grandes. No es como hace unos a?os. Ya hace tiempo que se dieron cuenta de que la mayor¨ªa de la gente si les cierran sus archivos no los pagan. Van a quienes saben que lo van a pagar porque tienen informaci¨®n esencial para el buen funcionamiento de la empresa o porque hay datos confidenciales¡±, cuenta Albors.

Un estudio conducido de las firmas de seguridad AdvIntel y Hyas, cifr¨® en m¨¢s de 150 millones de d¨®lares las ganancias cosechadas por Ryuk desde sus inicios, en 2018, despu¨¦s de rastrear los rescates abonados en bitcoin a direcciones atribuibles a los criminales que utilizan este virus.

En este sentido, y de acuerdo con Gerardo Guti¨¦rrez, director del SEPE, el ataque sufrido por la entidad desaf¨ªa los patrones habituales. Pese a que el organismo confirma que las t¨¦cnicas empleadas se corresponden con las de un secuestro inform¨¢tico y apunta a Ryuk como art¨ªfice de este, Guti¨¦rrez niega que se haya reclamado dinero o que se haya producido un robo de datos, informa Daniel Lara. ¡°Pensamos que es un ataque a la reputaci¨®n de la instituci¨®n¡±, razona el director de la entidad.

Luis Corrons, que ejerce en la Avast de evangelista de seguridad ¨Del encargado de explicar a usuarios y potenciales clientes los riesgos de los ataques y las posibles soluciones¨D se muestra esc¨¦ptico. ¡°Este no es un ataque nuevo. Si cifras la informaci¨®n es porque luego vas a pedir un rescate para que el due?o la pueda recuperar. Si lo que quieres es hacer da?o, directamente destruyes¡±, razona. Pero coincide con Albors en que los usuarios particulares no tienen que preocuparse por encontrar a Ryuk secuestrando los archivos almacenados en su ordenador personal. ¡°Una empresa no solo tiene mucho m¨¢s dinero, tambi¨¦n tiene mucho m¨¢s en juego. El da?o que se puede hacer es enorme¡±, sentencia. ¡°En Estados Unidos conozco muchos casos donde se ha pagado el rescate. Y deciden hacerlo precisamente porque tienen seguros contratados que les cubren el pago, lo cual no hace m¨¢s que alimentar el problema¡±.

Teletrabajo y eslabones d¨¦biles

Los particulares que s¨ª pueden verse afectado son los empleados que usan sus ordenadores personales para trabajar en remoto. ¡°Si cuando teletrabajas te conectas a la red de tu empresa, tu ordenador podr¨ªa verse afectado aunque no est¨¦s en la oficina¡±, advierte Corrons. Las medidas de prevenci¨®n que pueden tomar los particulares nos devuelven a las precauciones b¨¢sicas que debemos adoptar en cualquiera de nuestras interacciones en internet: no hacer clic en donde no debemos.

Aunque no se conoce con exactitud el modo en que se produjo la infecci¨®n que dio pie al secuestro de los equipos, el experto de Avast explica que no hay muchos escenarios posibles. ¡°Se suelen reducir a alg¨²n usuario que haya pinchado en donde no deb¨ªa. Le mandan un email, caen, infectan su ordenador y desde ah¨ª ya se han movido por todo el SEPE. Puede ser eso, pero tambi¨¦n alguna vulnerabilidad, por ejemplo, un servidor mal configurado¡±.

El secuestro es el paso final de una ofensiva que comienza mucho antes. En la primera fase, los delincuentes identifican posibles puntos de entrada. Una vez dentro del castillo, se determina el valor de la informaci¨®n contenida en el equipo infectado. ¡°Si no hay mucho beneficio, empiezan a hacer movimientos laterales para ver qu¨¦ interesa cifrar¡±, cuenta Albors. As¨ª, la tambi¨¦n creciente sofisticaci¨®n de los pasos previos al cifrado de los archivos contribuye a enmara?ar a¨²n m¨¢s la madeja.

Por el momento, Corrons descarta que los cibercriminales vayan a cambiar de estrategia para volver a centrar sus ataques en equipos de particulares, puesto que apostar por los peces grandes sigue siendo rentable. ¡°El dinero que le puedes sacar a una empresa grande es mucho y para la empresa no es tanto. Seguramente les sale m¨¢s caro cada d¨ªa que no pueden trabajar¡±.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook, Twitter, Instagram o suscribirte aqu¨ª a nuestra Newsletter.