Chantaje al Ministerio de Trabajo: exigen un rescate para liberar los sistemas atacados
El Ministerio de Trabajo lo ha negado en todo momento, pero ha ocurrido: los cibercriminales exigen un rescate para liberar los sistemas secuestrados tras el ciberataque con el 'ransomware' Ryuk
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fdac%2Fae5%2F27d%2Fdacae527d5f0813f954768bd03d5acf1.jpg)
Veinticuatro horas después de que el Ministerio de Trabajo quitase hierro al segundo ciberataque sufrido por este organismo en tres meses, el pronóstico más inquietante se ha cumplido. El grupo de ciberdelincuentes detrás de la acción ha pedido un rescate para recuperar los sistemas secuestrados, tal y como confirman a este diario fuentes conocedoras de la investigación. El alcance del ataque es muy amplio y hay preocupación en el seno del operativo formado por técnicos de Trabajo, del Centro Criptológico Nacional (CCN-CERT), dependiente del CNI, y de las empresas de ciberseguridad que apoyan al CCN en las tareas de recuperación. Portavoces de Trabajo aseguraron durante el día de ayer que el alcance del incidente era limitado y que no se había pedido rescate. Ni lo uno ni lo otro se ajusta a la realidad.
"El alcance es muy fuerte. Hay afectados entornos de virtualización, cabinas de almacenamiento, discos compartidos de todos los servicios... Cuando se hacen con el control de los servidores virtualizados eso significa que no hay ni uno ni dos equipos afectados, puede haber cientos o miles", explica una fuente consultada conocedora de las tareas de recuperación. Otra muestra su sorpresa con la estrategia de comunicación llevada a cabo por el Gobierno al negar la existencia de una petición de rescate. "En una de las carpetas se ha encontrado el archivo 'ReadmeRyuk", que es el que contiene las instrucciones de pago para liberar los sistemas. ¿Para qué vas a colar un 'ransomware' si no vas a pedir luego un rescate? Sería absurdo".
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa51%2Fd52%2F769%2Fa51d527696311273df7fcfc0ae259cf6.jpg)
El Ministerio de Trabajo ha optado por quitar importancia al ataque y esconder el verdadero alcance del mismo. Pero el hecho de que se trate del 'ransomware' Ryuk, como avanzó ayer este diario, el mismo que tumbó durante dos semanas el Servicio Estatal Público de Empleo (SEPE), no es tranquilizador.
Ryuk es un potente virus desarrollado a mediados de 2018 por un grupo de cibercriminales de origen ruso conocido como Grim Spider. Se calcula que, desde su creación, esta banda organizada habría recaudado más de 27 millones de dólares en bitcoins (al precio actual) en un total de 52 estafas a empresas y organismos en todo el mundo. En España, Prosegur, Everis, la Cadena SER, el SEPE o los ayuntamientos de Jerez y Bilbao ya han sufrido un ataque con este 'software'. Para Everis tuvo un coste de 15 millones de euros, en términos de "horas no productivas y costes directos de recuperación", tal y como ha reconocido en sus cuentas anuales. Se desconoce si, además de los 15 millones, Everis pagó también un rescate.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F465%2Fa52%2Fc31%2F465a52c31b33d2a6355cf540c93b863e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F465%2Fa52%2Fc31%2F465a52c31b33d2a6355cf540c93b863e.jpg)
Está por ver cuál será el coste para el Ministerio de Trabajo, si es que alguna vez se llega a conocer, o si finalmente optarán por pagar el dinero exigido. Oficialmente, nadie paga nunca rescates. En la práctica, muchas compañías acaban cediendo al chantaje. En el caso de este ministerio, de momento se ha optado por desconectar toda la red de comunicación interna como medida inmediata para frenar el ataque. "Han levantado un directorio activo para empezar de cero y con servidores limpios. Van añadiendo servidor a servidor, dando de alta de nuevo a los usuarios para que puedan volver a trabajar en un entorno seguro mientras mantienen aislados los sistemas infectados. Me consta que están desbordados", explica una fuente conocedora de las tareas de recuperación que pide mantener el anonimato. Hasta que ese proceso se complete, muchos funcionarios y empleados del ministerio no podrán trabajar.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fccc%2F676%2F8f9%2Fccc6768f976100e8cada083e2d796687.jpg)
El 'modus operandi' del grupo Grim Spider siempre ha sido el mismo. "Te sacan la pasta porque saben que no vas a poder recuperar las copias de seguridad. Actúan de forma diferente a otros grupos como Revil, que publican datos de las empresas hackeadas en la 'dark web'. Con Grim Spider generalmente las cosas se acaban solucionando de forma silenciosa. La empresa u organismo atacado contrata a la Consultora Pérez, la Consultora Pérez negocia con los cibercriminales un pago, y luego todo vuelve a la normalidad", explica un experto en ciberseguridad consultado.
La solución del asunto dependerá de qué había alojado en los servidores virtuales afectados del Ministerio de Trabajo y hasta qué punto la información es recuperable o no. Que las webs del ministerio no se hayan caído o apenas hayan sufrido cortes no quiere decir nada: sus servidores pueden estar aislados de la infraestructura atacada. Al operativo de respuesta del CCN le preocupa también la posible extracción de información para su posterior venta. "Hemos visto casos recientes en España de grupos que vendían las contraseñas de acceso por VPN a una red ministerial. A los pocos minutos de ponerse a la venta, alguien las compraba. Y a los dos días, ese ministerio sufría un ataque con 'ransomware'. Siempre ocurre igual", explica un especialista en ciberseguridad que ha trabajado en las tareas de recuperación de ciberataques a empresas y organismos españoles.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F7e2%2F9a5%2Fd4c%2F7e29a5d4c6917976c57d2e16f06e1e1d.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F7e2%2F9a5%2Fd4c%2F7e29a5d4c6917976c57d2e16f06e1e1d.jpg)
Lo inquietante no es ya este último ataque a un ministerio, sino la tendencia de los últimos meses. La oleada de incidentes es inmanejable. Tanto a nivel operativo como policial y penal, es casi imposible ir por delante de los cibercriminales. Incluso aunque se lograra identificar quiénes están detrás de esta y otras acciones, lograr una extradición desde sus países de origen sería misión imposible. Y, por si fuera poco, se añade otra complejidad.
"Ahora es increíblemente sencillo que cualquiera lance uno de estos ataques. Imagina que te despide tu empresa y te quieres vengar", explica un especialista consultado. "Basta alquilar un 'ransomware' como Ryuk, enviar un 'e-mail' que lo contenga, que alguien lo abra, lo descargue sin siquiera saberlo, infecte los sistemas y a esperar. Las bandas de criminales acaban negociando el pago del rescate. Tú te llevas el 30% y ellos el resto. Todo en bitcoins", señala. Es lo que se llama 'ransomware as a service', el lucrativo negocio del alquiler de virus maliciosos que está en auge y del que solo estamos empezando a ver sus primeros pasos.
Veinticuatro horas después de que el Ministerio de Trabajo quitase hierro al segundo ciberataque sufrido por este organismo en tres meses, el pronóstico más inquietante se ha cumplido. El grupo de ciberdelincuentes detrás de la acción ha pedido un rescate para recuperar los sistemas secuestrados, tal y como confirman a este diario fuentes conocedoras de la investigación. El alcance del ataque es muy amplio y hay preocupación en el seno del operativo formado por técnicos de Trabajo, del Centro Criptológico Nacional (CCN-CERT), dependiente del CNI, y de las empresas de ciberseguridad que apoyan al CCN en las tareas de recuperación. Portavoces de Trabajo aseguraron durante el día de ayer que el alcance del incidente era limitado y que no se había pedido rescate. Ni lo uno ni lo otro se ajusta a la realidad.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F2fa%2F89d%2F221%2F2fa89d221c14cadb7a6cb45a7910793d.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F7c9%2F6b9%2Fc31%2F7c96b9c316a9b592a7d6176c431efc36.jpg)