Iniciamos con este post una serie de artículos con el propósito de hablar sobre ransomware. En este primero, explicaremos qué es Ryuk y cómo ha afectado al SEPE; en el segundo, realizaremos una PoC (Proof of concept) en local y, en el último, hablaremos sobre buenas prácticas para prevenir este tipo de ataques.
¿Qué es un ransomware?
Es un virus, un tipo de malware que infecta nuestros dispositivos, que se encarga de cifrar nuestros archivos para, posteriormente, pedir una rescate económico por ellos (la mayoría de veces, por no decir en su totalidad, en criptodivisas). No solo puede quedarse en el propio dispositivo, sino que también puede infectar otros dispositivos en red.
Las dos vías de entrada de este tipo de malware son: la explotación de vulnerabilidades dentro del propio sistema y el factor humano (según Zaharia en 2017, el 97% de los phising mails contenían algún tipo de ransomware).
Este tipo de malware no es novedoso ni actual. En 1980, ya hubo algunos ransomware, como PC Cyborg. Más tarde llegó CryptoLocker. A estos les sucedieron muchos otros, como TeslaCrypt, WannaCry, Ryuk…
¿Qué es Ryuk y qué ha pasado con el SEPE?
El 9 de marzo, el SEPE avisó por Twitter que su web y su sede electrónica no estaban disponibles… Se trataba de un ciberataque.
El SEPE fue infectado por Ryuk (nombre que hace referencia al manga Death Note), un tipo de ransomware al que le gustan los grandes sistemas de Microsoft Windows de entidades públicas (se desconoce cómo llegó a penetrar, pero llegó justo cuando se detectó una vulnerabilidad de Microsoft Exchange Server llamada ProxyLogon… Sacad vuestras propias conclusiones).
Ryuk también dejó otros “regalos” por España en empresas como Prosegur, Everis o la Cadena Ser, así como en algún Ayuntamiento.
¿Tiene solución el ataque de ransomware?
En la red empezaron a circular mensajes sobre el nuevo portal del SEPE. Aparentemente, se realizaron volcados de copias de seguridad de la web https://archive.org/ sobre los servidores del SEPE (IIS 5.0), lo cual puede significar que anden un poco cortos de backups de su propio sistema.
Si buscamos, encontramos la licitación pública del SEPE para sistemas informáticos (13.300.866,61 €) en la que podemos ver que el plazo para presentar la oferta es el 17/05/2016, el mismo año que muestra el banner de mantenimiento.
Varios días después de la noticia del ciberataque, se descubrió que la entidad pública del Servicio Estatal Público de Empleo no contaba con las certificaciones de seguridad (ENS – Esquema Nacional de Seguridad) exigidas por el Centro Criptológico Nacional (CCN).
Se pueden consultar todas las entidades públicas que poseen este certificado aquí.
Más tarde se descubrió una nueva vulnerabilidad en los servidores BigIp, que permite la ejecución remota de código (RCE – poder ejecutar comandos dentro del servidor). Obviamente, cómo no, la página web del SEPE estaba montada sobre esos servidores.
Recapitulemos: una entidad pública, que no tiene los certificados de seguridad exigidos, paraliza toda su infraestructura durante varios días debido a unos sistemas antiguos y vulnerables y falta de formación en su personal. Finalmente, la empresa adjudicataria del contrato público y responsable de los sistemas (13.300.866,61 €), restaura copias de seguridad para el front-end de una página web de copias (todo eso sobre unos servidores doblemente desactualizados como IIS 5.0, BigIp…).
