Las mutaciones de Ryuk: el virus que paraliza el SEPE es cada vez más veloz y ataca incluso equipos apagados

El Servicio Público de Empleo Estatal (SEPE) es la última víctima de Ryuk, un virus de secuestro informático —ransomware— nacido en agosto de 2018 y manejado supuestamente por el grupo ruso Grim Spider. Pero no será la única, porque es un problema difícil de erradicar. Ryuk evoluciona constantemente incorporando nuevas habilidades que dificultan contrarrestar sus ataques, como extenderse entre equipos que ni siquiera están encendidos, cuenta Josep Albors, responsable de investigación de la compañía de ciberseguridad ESET España. “Desde principios de este año ha ido características que le hacen más peligroso en cuanto a su velocidad y capacidad de propagación”, explica.

La amenaza de Ryuk no es indiscriminada. La evolución reciente de los virus como el que mantiene tumbados de este martes los sistemas del SEPE retrata a grupos criminales con intereses concretos. “Este tipo de ataques está dirigido a empresas y organizaciones bastante grandes. No es como hace unos años. Ya hace tiempo que se dieron cuenta de que la mayoría de la gente si les cierran sus archivos no los pagan. Van a quienes saben que lo van a pagar porque tienen información esencial para el buen funcionamiento de la empresa o porque hay datos confidenciales”, cuenta Albors.

Un estudio conducido de las firmas de seguridad AdvIntel y Hyas, cifró en más de 150 millones de dólares las ganancias cosechadas por Ryuk desde sus inicios, en 2018, después de rastrear los rescates abonados en bitcoin a direcciones atribuibles a los criminales que utilizan este virus.

En este sentido, y de acuerdo con Gerardo Gutiérrez, director del SEPE, el ataque sufrido por la entidad desafía los patrones habituales. Pese a que el organismo confirma que las técnicas empleadas se corresponden con las de un secuestro informático y apunta a Ryuk como artífice de este, Gutiérrez niega que se haya reclamado dinero o que se haya producido un robo de datos, informa Daniel Lara. “Pensamos que es un ataque a la reputación de la institución”, razona el director de la entidad.

Luis Corrons, que ejerce en la Avast de evangelista de seguridad ―el encargado de explicar a usuarios y potenciales clientes los riesgos de los ataques y las posibles soluciones― se muestra escéptico. “Este no es un ataque nuevo. Si cifras la información es porque luego vas a pedir un rescate para que el dueño la pueda recuperar. Si lo que quieres es hacer daño, directamente destruyes”, razona. Pero coincide con Albors en que los usuarios particulares no tienen que preocuparse por encontrar a Ryuk secuestrando los archivos almacenados en su ordenador personal. “Una empresa no solo tiene mucho más dinero, también tiene mucho más en juego. El daño que se puede hacer es enorme”, sentencia. “En Estados Unidos conozco muchos casos donde se ha pagado el rescate. Y deciden hacerlo precisamente porque tienen seguros contratados que les cubren el pago, lo cual no hace más que alimentar el problema”.

Teletrabajo y eslabones débiles

Los particulares que sí pueden verse afectado son los empleados que usan sus ordenadores personales para trabajar en remoto. “Si cuando teletrabajas te conectas a la red de tu empresa, tu ordenador podría verse afectado aunque no estés en la oficina”, advierte Corrons. Las medidas de prevención que pueden tomar los particulares nos devuelven a las precauciones básicas que debemos adoptar en cualquiera de nuestras interacciones en internet: no hacer clic en donde no debemos.

Aunque no se conoce con exactitud el modo en que se produjo la infección que dio pie al secuestro de los equipos, el experto de Avast explica que no hay muchos escenarios posibles. “Se suelen reducir a algún usuario que haya pinchado en donde no debía. Le mandan un email, caen, infectan su ordenador y desde ahí ya se han movido por todo el SEPE. Puede ser eso, pero también alguna vulnerabilidad, por ejemplo, un servidor mal configurado”.

El secuestro es el paso final de una ofensiva que comienza mucho antes. En la primera fase, los delincuentes identifican posibles puntos de entrada. Una vez dentro del castillo, se determina el valor de la información contenida en el equipo infectado. “Si no hay mucho beneficio, empiezan a hacer movimientos laterales para ver qué interesa cifrar”, cuenta Albors. Así, la también creciente sofisticación de los pasos previos al cifrado de los archivos contribuye a enmarañar aún más la madeja.

Por el momento, Corrons descarta que los cibercriminales vayan a cambiar de estrategia para volver a centrar sus ataques en equipos de particulares, puesto que apostar por los peces grandes sigue siendo rentable. “El dinero que le puedes sacar a una empresa grande es mucho y para la empresa no es tanto. Seguramente les sale más caro cada día que no pueden trabajar”.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.