Según expertos solo queda "pagar o perder"

Este es el virus que secuestra ayuntamientos españoles y también te puede afectar a ti

Ryuk es un 'ransomware' de origen ruso que ha encriptado las bases de datos de varios consistorios españoles y que preocupa incluso al FBI

Foto: (Foto: Reuters)
(Foto: Reuters)

Los 'ransomware' son uno de los mayores quebraderos de cabeza de los expertos en ciberseguridad en la actualidad. Estos sofisticados virus han llegado a poner en jaque empresas a nivel global, haciendo saltar todas las alarmas, ocurrió con Wannacry en 2017 o Petya en 2016, y, pese al paso de los años, aún siguen haciendo estragos. En estos momentos no hay ningún gran virus que esté arrasando el planeta como los mencionados, pero sí desarrollos más pequeños pero muy lucrativos y peligrosos. Uno de ellos es Ryuk, el 'ransomware' que, según medios locales, tiene secuestrado, desde hace al menos dos días, el Ayuntamiento de Jerez de la Frontera y que atacó en esos mismos momentos a varias instituciones vascas.

Desde el pasado 2 de octubre el consistorio gaditano vive una situación de bastante gravedad y es que alguien ha cifrado toda su base de datos y pide un importante rescate en 'bitcoins' para liberarla. Aunque el propio consistorio, que ya ha avisado al Centro Criptográfico Nacional, no ha confirmado que sea este el virus en concreto, medios locales como MásJerez dan como bueno este dato citando fuentes internas. Lo cierto es que tiene bastante sentido tanto por el tipo de ataque como por el momento en el que se ha producido.

Ese mismo virus ha atacado otras instituciones españolas este inicio de octubre como el Ayuntamiento de Bilbao, el de Santurtzi o la Fundación Hazi. Pero de confirmarse la noticia, Jerez no sería solo otro caso en España sino que se sumaría a una lista de afectados tan grande que hasta el propio FBI ha tomado cartas en el asunto.

En los últimos días varios hospitales de Estados Unidos y Australia han sufrido ataques muy similares al de Jerez, todos con la firma de Ryuk, y en lo que se refiere a ayuntamientos el problema no se queda atrás. En abril, la ciudad californiana de Imperial County y el pueblo de Stuart, en Florida, también recibieron la visita de este 'gusano'. El último caso mediático se dio en septiembre cuando New Bedford (Massachusetts) se negó a pagar los 5,3 millones de dólares en bitcoins que pedía el 'hacker' en cuestión.

Ayuntamiento de Jerez de la Frontera. (Foto: EFE)
Ayuntamiento de Jerez de la Frontera. (Foto: EFE)

En ese caso la institución supo lidiar con lo ocurrido y gracias a algo de suerte (el ataque no llego a afectar a toda la base de datos), una buena negociación y una fuerte inversión en ciberseguridad, se libraron de dar nada de dinero, pero otras sí tuvieron que rascarse el bolsillo. Las instituciones estadounidenses calculan que solo explotando este virus los piratas han conseguido hacerse con más de 3 millones de dólares en rescates.

¿Cómo funciona el virus?

Ya conocemos los casos, pero ¿cómo funciona concretamente este 'ransomware' y qué lo hace tan peligroso? Pues, como explica Sergio de los Santos, especialista en ciberseguridad de ElevenPaths, las claves están en su sofisticación. "Al final este tipo de virus funcionan casi como un producto empresarial más. Los que lo crean (esta vez para que son un grupo llamado Grim Spider, de origen ruso) y lo explotan lo hacen de forma muy profesional, sabiendo exactamente su objetivo y lo que buscan, y hacen todo para conseguirlo. Por eso es tan complicado detectarlos a priori".

De los Santos explica que Ryuk se trata de una evolución de un virus nacido en 2017 llamado Hermes y que funcionaba de forma muy similar. "Para que te hagas una idea, estos virus funcionan por campañas. Se actualizan se ponen a punto y se lanzan hasta que los sistemas de control se actualizan y consiguen encontrar una barrera contra estos gusanos. En ese momento vuelven a modificarlos y la rueda sigue".

En este caso, como explica el experto, tuvieron una primera gran campaña el verano de 2018, cuando lanzaron el primer Ryuk y luego han seguido actualizando, lanzando y recopilando dinero. "Al contrario que Wannacry y demás, son virus que intentan pasar desapercibidos. Atacan objetivos muy concretos, casi todo empresas o instituciones, les sacan el dinero y se van. Así no hacen saltar las alarmas y es más complicado que el resto se preparen contra él".

(Foto: EFE)
(Foto: EFE)

Además, su peligrosidad también reside en la profundidad del ataque. "Normalmente explotan siempre las mismas vulnerabilidades, que son las que tienen bien estudiadas, y entran hasta el fondo sin saber muy bien lo que se van a encontrar. Una vez dentro van hasta el 'core' (la base de datos central), la encriptan con uno de los sistemas más indescifrables que existen hoy en día y no salen hasta que les das lo que piden". De los Santos habla de que una de las vulnerabilidades que más explotan son los siempre delicados Escritorios Remoto o Terminal Server. "Aunque ya hay informaciones que hablan de que también aprovechan el 'Paso lateral' y se mueven por los equipos hasta llegar a la base central".

Por último, en cuanto a por qué atacar estas instituciones y no otras, De los Santos achaca todo a la arbitrariedad. "Ellos buscan servidores con las vulnerabilidades que conocen, y se van a por ellos. Luego dentro ven lo que es y qué pueden hacer. Da igual si es un hospital de Alabama o un ayuntamiento de Cádiz. Ni siquiera roban los datos, solo los encriptan hasta que reciben el dinero".

"Pagar o perder"

Lo más preocupante en este caso es que no hay nada que hacer una vez que te han infectado, o al menos eso asegura el experto. "Tienes que pagar o perder. Debes analizar todo lo que te han robado, ver las consecuencias y decidir. Si tienes 'backups' offline puede que tengas la posibilidad de recuperar parte de la información pero normalmente se hacen con todo". Según explica el ingeniero, la mayoría pagan porque volver a montar todo significa perder los datos, pero también una inversión más importante que el propio rescate.

Por ejemplo, el Ayuntamiento de New Bedford se negó a pagar, pero aceptó que tendría que empezar de cero tirando de 'backups' y gastando bastante dinero en volver a construir todos los sistemas "Es la eterna duda. Negarte y empezar de cero aunque eso suponga mayores problemas o pagar, que todo siga como estaba y alimentar al bicho. No es una decisión fácil".

(Foto: Reuters)
(Foto: Reuters)

En lo que afecta a los ciudadanos, el problema está en lo que pase con esas instituciones o empresas ya que no es un 'ransomware' preparado para ir contra usuarios finales. No les interesa hacerlo. "Ellos quieren pocos ataques, rápidos y rentables. Prefieren hacer 5 ataques en los que se lleven 10.000 euros que 500 de 100. Saben que una empresa no puede parar su producción por algo así y lo aprovechan. La verdad que es algo muy profesional y deja pocas opciones".

Para terminar, De los Santos deja una recomendación para los usuarios que se vean afectados por un 'ransomware'. "Estos virus encriptan toda tu información pero algunos ya tienen fallos o han sido descifrados. Hay que tener esperanzas justas pero puedes acudir a webs como 'nomoreransom.org' que ya cuentan con herramientas para descifrar estos virus y recuperar el control".

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
2 comentarios
Por FechaMejor Valorados
Mostrar más comentarios