N.World
diretrizes para o resgate de bens

Diretrizes de segurança sobre resgates (I): o ataque de Ryuk ao SEPE

 

Iniciamos con este post una serie de artículos (tres en total) con el propósito de hablar sobre ransomware. En este primero, explicaremos qué es Ryuk y cómo ha afectado al SEPEA segunda, vamos realizar um PoC (Proof of concept) en local; y, en el último, hablaremos sobre  buenas prácticas para prevenir este tipo de ataques.

Comecemos pelo início: ¿qué es un ransomware?

É um vírus, um tipo de malware que infecta nossos dispositivos, que está encarregado de criptografar nossos arquivose posteriormente solicitar um rescate económico por ellos (la mayoría de veces, por no decir en su totalidad, en criptodivisas). No solo puede quedarse en el propio dispositivo, sino que también puede infectar otros dispositivos en red.

Os dois vías de entrada de este tipo de malware son: la explotación de vulnerabilidades dentro do próprio sistema e do fator humano (según Zaharia en 2017, el 97% de los phising mails contenían algún tipo de ransomware).

Este tipo de malware no es novedoso ni actual. En 1980, ya hubo algunos ransomware, como PC Cyborg. Más tarde llegó CryptoLocker. A estos les sucedieron muchos otros, como TeslaCrypt, WannaCry, Ryuk…

¿Qué es Ryuk y qué ha pasado con el SEPE?

El 9 de marzo, el SEPE avisó por Twitter que su web y su sede electrónica no estaban disponibles… Se trataba de un ciberataque.

O SEPE foi infectado por Ryuk (nombre que hace referencia al manga Death Note), un tipo de ransomware al que le gustan los grandes sistemas de Microsoft Windows de entidades públicas (se desconoce cómo llegó a penetrar, pero llegó justo cuando se detectó una vulnerabilidad de Microsoft Exchange Server llamada ProxyLogon… Sacad vuestras propias conclusiones).

Ryuk también dejó otros “regalos” por España en empresas como Prosegur, Everis e Cadena Ser, así como en algún Ayuntamiento.

Pero, ¿tiene solución?

En la red empezaron a circular mensajes sobre el nuevo portal del SEPE. Aparentemente, se realizaron volcados de copias de seguridad de la web https://archive.org/ sobre los servidores del SEPE (IIS 5.0), lo cual puede significar que anden un poco cortos de backups de su propio sistema?

Si buscamos, encontramos la licitación pública del SEPE para sistemas informáticos (13.300.866,61 ?) en la que podemos ver que el plazo para presentar la oferta es el 17/05/2016, el mismo año que muestra el banner de mantenimiento.

ACTUALIZACIÓN 1: varios días después de la noticia del ciberataque, se descubrió que la entidad pública del Servicio Estatal Público de Empleo no contaba con las certificaciones de seguridad (ENS – Esquema Nacional de Seguridad) exigidas por el Centro Criptológico Nacional (CCN).

Se pueden consultar todas las entidades públicas que poseen este certificado aquí.

ACTUALIZACIÓN 2: se descubrió una nueva vulnerabilidad en los servidores BigIp, que permite la ejecución remota de código (RCE – poder ejecutar comandos dentro del servidor). Obviamente, cómo no, la página web del SEPE estaba montada sobre esos servidores.

Recapitulemos: una entidad pública, que no tiene los certificados de seguridad exigidos, paraliza toda su infraestructura durante varios días debido a unos sistemas antiguos y vulnerables, falta de formación en su personal? Finalmente, la empresa adjudicataria del contrato público y responsable de los sistemas (13.300.866,61 ?), restaura copias de seguridad para el front-end de una página web de copias (todo eso sobre unos servidores doblemente desactualizados como IIS 5.0, BigIp?).

En el próximo post, montaremos um resgate localmente.

Departamento de Segurança Cibernética de Bosonit

Bosonit

Bosonit

Técnica e Dados

Você pode estar interessado em

Dê o salto
tecnológico.

Entre em contato conosco.