Según informa VozPopuli, el portal del Servicio de Empleo de nuestro país, ha sufrido un ciberataque que le ha obligado a suspender su actividad, presencial y online en todo el territorio español.
Parece ser que han sido objeto de una infección de un virus de la familia de ransomware, que accede a archivos y secuestra datos, normalmente con el fin de pedir un rescate.
Según la información de Voz Populi, el Servicio de Empleo Español, ha solicitado ayuda al Criptológico Nacional y ha enviado un comunicado interno explicando que se han visto afectados varios sistemas de la red troncal, los sistemas de correo electrónico y a los puestos de toda la red así como las medidas que se han tomado: apagado de todos los interfaces de comunicaciones en los Router de todos los Centros para conseguir un aislamiento completo de la red y aislamiento de todas las VLAN de servicios Centrales para analizar el impacto del ataque.
Rescatamos parte de un artículo de nuestro equipo de ciberseguridad para acercarnos a estimar el riesgo que supone una infección por Ransomware para una empresa, debemos poder categorizar el ambiente del Ransomware actual, y basar la inversión en unas medidas razonables:
- Ransomware con claves integradas en el código: Se trataría de una versión muy inocente, y con un desarrollo muy pobre en su base. En ocasiones se localizan las claves con las que se cifraron los archivos dentro del código del propio malware. Por tanto, es posible descifrar los archivos afectados.
- Ransomware con claves obtenidas desde internet: En ocasiones este malware obtiene las claves desde algún servidor de control que le envía una, o varias, claves con la que cifrar archivos. Para ayudar a recuperarse de un incidente de estas características, es recomendable disponer de elementos de análisis de tráfico en tiempo real, sistemas de monitorización y registro de tráfico.
- Ransomware que implementa claves aleatorias: Habitualmente, el malware genera las claves de forma aleatoria en el momento de ser ejecutado. Este puede parecer el final de la recuperación de archivos, pero no tiene porque ser así. ¿Cómo almacena el malware esas claves, si es que lo hace? ¿Se envían al exterior de alguna manera?. Responder a estas cuestiones puede ser elemental para lograr reponerse de un ataque.
- Ransomware que implementa métodos de cifrado híbridos: A partir de este punto la cosa se complica. Un malware de este tipo, genera claves simétricas para cifrar archivos, y luego cifra dichas claves mediante cifrado asimétrico. De esta forma, es posible almacenar o enviar las claves simétricas utilizadas para cifrar información, y que no sea posible recuperarlas con la información de que se dispone en el malware, o el tráfico generado por este.
- Ransomware worm: Los gusanos de red no nos son desconocidos; malware que aprovecha la existencia de vulnerabilidades para expandir su alcance al resto de los elementos de una red. Este tipo de malware es capaz de transmitirse a otros equipos, esparciéndose por la infraestructura de una organización en cuestión de minutos. La segmentación de red jugará un papel fundamental en este tipo de incidente. El solo uso de backups no apagarán este fuego, ya que estas mismas pueden verse afectadas. Un ejemplo de esta clase es el famoso WannaCry.
Estos, son solo algunos de los ejemplos que existen dentro de las familias de cifradores.
Esto nos deja un par de preguntas… ¿En que estadio nos encontramos? ¿Cuál es la variante de ransomware que afectará a mi empresa? La respuesta es, cualquiera de ellos. Cualquiera de esas variantes descritas puede poner en jaque una organización que no se haya preparado, incluso a las más preparadas.
La única forma de estar lo más preparado posible frente a este tipo de incidente es hacer simulaciones y concienciar al personal.
Equipo Ciberseguridad