El Servicio de Empleo Publico Estatal de España (SEPE) ha anunciado una caída de su portal web y de la sede electrónica. Las líneas de atención telefónica tampoco se encuentran disponibles en este momento, lo que parece indicar que la suspensión de sus servicios es total. El SEPE esta offline. El ciberataque ha dejado fuera de servicio la actividad en todo el país del organismo, tanto en las 710 oficinas que prestan servicio presencial como en las 52 telemáticas, según constató, por su parte, la Central Sindical Independiente y de Funcionarios (CSIF). Un hecho que ya esta siendo investigado por el Centro Criptológico Nacional, dependiente del CNI (Centro Nacional de Inteligencia) y el equipo informático del propio SEPE. Ryuk agrega .RYK a los archivos cifrados y coloca el archivo RyukReadMe.txt en los directorios cifrados. El ciberataque del SEPE afecta también al Instituto de la Seguridad Social. Trickbot ha pasado a convertirse en el dropper más usado del mundo tras la la desmantelación de Emotet

• El SEPE no figura en la lista de centros certificados por el Centro Criptológico Nacional para el Esquema Nacional de Seguridad

Según han confirmado fuentes del SEPE estamos ante un ciberataque por medio de un ransomware, que ha obligado a que los ordenadores del SEPE se encuentren apagados desde primera hora de la mañana y que ha afectado tanto a aquellas personas que trabajan de forma presencial en las 710 sedes, como a las 52 que lo hacen de forma telemática.

«La dirección del SEPE está estudiando enviar un comunicado para tranquilizar a todas las personas cuyos datos han podido ser intervenidos por los responsables del ataque», según confirman al medio.

El malware «ha afectado a varios sistemas de la red troncal, a los sistemas de correo electrónico y a los puestos de toda la red», ha explicado la dirección a los empleados de las direcciones provinciales en una nota interna. En ese mismo comunicado se detallan las medidas que se han tomado hasta el momento: «apagado de todos los interfaces de comunicaciones en los Router de todos los Centros para conseguir un aislamiento completo de la red», y «aislamiento de todas las VLAN de servicios Centrales para analizar el impacto del ataque».

Como medida extra, han solicitado al Centro Criptológico Nacional (CCN-CERT) soporte en el proceso de detección del ataque y de medidas a adoptar», así como con a McAffe, su proveedor de antivirus.

 La web, cuando responde, muestra ahora el siguiente mensaje «Por causas ajenas al SEPE la página WEB y la sede electrónica no están operativas. Estamos trabajando para restaurar el servicio lo antes posible. Se comunicará el restablecimiento en el momento en el que el servicio esté disponible. Disculpen las molestias».

Por causas ajenas al @empleo_SEPE , la web y la sede electrónica del #SEPE no se encuentran disponibles. Se avisará cuando estén nuevamente operativas. Lamentamos las molestias causadas. pic.twitter.com/YPa9Dps2UX

— SEPE (@empleo_SEPE) March 9, 2021

Así mismo, numerosos medios afirman que han contactado con empleados y que se trata de la variante Ryuk, pero no hemos podido confirmar dicha información.

El Director General del SEPE, Gerardo Gutiérrez, ha explicado en entrevistas en RNE y La Ser que, de momento, no ha habido petición de rescate, práctica común en este tipo de ciberataques.

Preguntado por el pago del día 10, Gerardo Gutiérrez ha explicado que el virus sufrido afecta a archivos compartidos, pero no a aplicaciones informáticas ni a sistemas de generación de nóminas y pagos, como los ERTE. «La prestación por desempleo se está pagando y se seguirá abonando, como siempre» ha reconocido en los medios. En estos momentos, ha reconocido que se encuentran trabajando para reestablecer «cuanto antes» las comunicaciones y «evaluando» el daño del ciberincidente. 

Por último, Gerardo Guitiérrez ha afirmado que «no ha salido ningún dato, no ha habido ningún robo. Los datos de confidencialidad están totalmente asegurados».

En España, el primero en conocer la virulencia de Ryuk fue el Ayuntamiento de Jerez. En octubre de 2019, el consistorio sufrió un ataque de este virus que, al igual que ha sucedido este martes en el SEPE, obligó a cambiar los ordenadores por papel, los trámites telemáticos por los presenciales y la velocidad de la red por la paciencia cara a cara. Un mes después, la Cadena SER (propiedad del grupo editor de EL PAÍS) y la consultora Everis también sufrieron un ataque parecido. Ambas empresas recurrieron al Instituto Nacional de Ciberseguridad (Incibe). Y también la la empresa de seguridad Prosegur

Historia del Ransomware Ruyk

A diferencia del ransomware común, distribuido a través de campañas masivas de spam, Ryuk se utiliza exclusivamente para ataques dirigidos. De hecho, su esquema de cifrado está diseñado intencionalmente para operaciones a pequeña escala, de modo que solo infecta recursos cruciales de cada red objetivo y su distribución es llevada a cabo manualmente por los atacantes.

Análisis técnico detallado del ransomware Ryuk que atacó Sepe en España (Servicio Público de Empleo Estatal) - Técnicas utilizadas por los operadores WIZARD SPIDER, UNC1878, Team9 - 

Ruyk utiliza herramientas: 

• Mimikatz
• PowerShell
• PowerSploit 
• AdFind 
• Bloodhound
• PsExec
• Cobalt Strike
• Bazar

Movimientos laterales WMI + PowerShell + Cobalt Strike (SMB PsExec)

Esto significa que se requiere un mapeo extenso de redes, piratería y recolección de credenciales antes de cada operación. Su supuesta atribución a Lazarus Group puede implicar que los atacantes ya tienen mucha experiencia en este tipo de operaciones, como demostraron en el ciberataque a Sony Pictures en 2014.

UNC1878 (Rusia) es responsable del 83% de las infecciones por Ryuk en 2020 (según FireEye)

Ryuk vs HERMES
El ransomware HERMES se hizo conocido en octubre de 2017, cuando se utilizó como parte del ciberataque dirigido contra el Far Eastern International Bank (FEIB) de Taiwán. En esa operación, atribuida al Lazarus Group, se robaron 60 millones de dólares en un sofisticado ataque al SWIFT, aunque luego se recuperaron.

En el caso de Ryuk, sin embargo, no hay duda de que sus ataques de las últimas dos semanas no son algo secundario. De hecho, con el pago de un rescate tan alto como solicitaron, este malware está recibiendo la repercusión adecuada entre sus objetivos o, mejor dicho, sus víctimas.

Ganancias del Ransomware Ryuk

Los actores detrás del ransomware Ryuk ha ganado más de 150 millones de dólares en 2021. La mayoría de las «ganancias» de  Ryuk se están cobrando a través de cuentas en los intercambios de cifrado Binance y Huobi.

La última cifra que se tenía fue de febrero de 2020, cuando los funcionarios del FBI hablaron en la conferencia de seguridad de RSA. En ese entonces, el FBI dijo que RYUK era el grupo de ransomware más rentable activo en la escena, habiendo ganado más de 61.26 millones de dólares en pagos de rescate entre febrero de 2018 y octubre de 2019, según las denuncias recibidas por el FBI Internet Crime Complaint Centrar.

Informe publicado por las empresas de seguridad cibernética Advanced Intelligence y HYAS, que aseguran haber identificado un total de 61 direcciones de Bitcoin asociadas a los operadores de Ryuk.

“Ryuk recibe una cantidad significativa de los pagos de sus extorsiones mediante un conocido corredor que gestiona las transacciones”, dice el informe. “Estos pagos a veces ascienden a millones de dólares y suelen oscilar entre los cientos de miles”.

Los operadores de Ryuk usan os direcciones Protonmail únicas para cada víctima y las utilizan para comunicarse. Ryuk no utiliza actualmente un chat basado en la web como lo hacen muchas otras operaciones de ransomware. Con la visibilidad limitada disponible para los analistas, está dolorosamente claro que los criminales detrás de Ryuk son muy profesionales y no sienten ninguna simpatía por el estado, el propósito o la capacidad de pago de las víctimas. A veces, las víctimas intentarán negociar con Ryuk y sus importantes ofertas se les niegan con una respuesta de una sola palabra. Ryuk no respondió ni reconoció a una organización que afirmaba estar involucrada en el alivio de la pobreza y carecía de los medios para pagar. 

Las empresas que sufren ransomware no están infectadas porque carecen de un software antivirus actualizado o porque eligieron el proveedor azul en lugar del proveedor rojo. Se encuentran con ransomware porque no han considerado desarrollar contramedidas que eviten el punto de apoyo inicial que obtienen los programas maliciosos precursores como Emotet, Zloader y Qakbot (por nombrar algunos). Lo que sigue son un par de enfoques para contrarrestar el punto de apoyo inicial:

•  Restringir la ejecución de macros de Microsoft Office para evitar que se ejecuten macros maliciosas en su entorno.
• Asegúrese de que todos los puntos de acceso remoto estén actualizados y requieran autenticación de dos factores (2FA).
• El uso de herramientas de acceso remoto como Citrix y Microsoft RDP debe considerarse especialmente riesgoso y la exposición debe limitarse a una lista específica de direcciones IP cuando sea necesario.

Restaurando copias de seguridad antiguas y archive.org

SEPE: estarían restaurando la web usando una copia del año pasado de webarchive.org

Ahora mismo, parece que los informáticos encargados de recuperar el SEPE están trabajando en restaurar copias de seguridad. El problema es que puede que no tengan copias demasiado recientes o que, por alguna razón que desconocemos, no puedan acceder a ellas (pueden estar comprometidas también).

Aunque el gobierno reconoce que “no les han pedido ningún rescate”, expertos en ciberseguridad señalan que esto no es lo habitual. La extorsión es el siguiente paso en los virus de este tipo que, primero infectan y secuestran el sistema, y luego piden un rescate monetario para liberar los archivos.

Está restaurando el SEPE su web con un backup de 2020 y luego aplicando cambios con la información almacenada en archive.org?

13 millones de euros para sistemas informáticos

En el año 2016 se publicaban las bases del concurso público para los Servicios para el soporte y evolución de las infraestructuras y sistemas informáticos del Servicio Público de Empleo Estatal. Con un importe neto de este concurso es 13.300.866,61 euros, tenía como objetivo la prestación de soporte y evolución de las infraestructuras y sistemas informáticos y de comunicaciones del SEPE, así como los servicios de calidad, arquitectura y seguridad, que dan soporte a su vez a los servicios proporcionados por el organismo.

Por lo que parece, 13 millones de euros no han sido suficientes para renovar equipos informáticos con 30 años o para tener todo bien protegido. Al menos, para haber tenido copias de seguridad con las que levantar el sistema en unas pocas horas y no dar la sensación de improvisación o chapuza absoluta.

Trickbot y otros

1. QBot. También conocido como Qakbot, es un troyano bancario que apareció por primera vez en 2008, diseñado para robar las credenciales bancarias y las claves del usuario. A menudo se distribuye a través de correo electrónico spam. Qbot emplea varias técnicas anti-VM, anti-debugging y anti-sandbox para obstaculizar el análisis y evadir ser detectado. Este troyano atacó al 7,57% de las empresas en España.
2. XMRig. Un cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 4.79% de las empresas españolas.
3. Darkgate. Es una amenaza compleja que se instala de manera sigilosa. Este troyano, que ha atacado al 4,02% de las empresas españolas, provoca problemas de desempeño e incapacidad para ejecutar ciertos servicios o aplicaciones.

Análisis Técnico del Ransomware Ryuk

Fuentes:

https://www.vozpopuli.com/economia_y_finanzas/sepe-ataque-informatico.html

https://derechodelared.com/ciberataque-al-sepe/

https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders

https://www.adslzone.net/noticias/seguridad/sepe-copia-seguridad-ransomware/