Por Marcelino Madrigal | ¿Qué es ransomware? El término se les habrá hecho familiar a partir del ataque sufrido por el SEPE (Servicio Público de Empleo Estatal), y el cómo los medios se hacen eco de las consecuencias sufridas por miles de personas. Yo voy a intentar dar algunas claves sobre este ciberdelito y quienes lo cometen, que seguro que ustedes no conocen.
Ransomware es como llamamos a un software dañino, malware, que tiene como principal objetivo el impedir el uso de datos y dispositivos a través del cifrado del mismo, haciéndolos inutilizables, y pidiendo una cantidad monetaria como rescate. Un secuestro.
Otros ciberdelitos más extendidos que el ramsomware
Sin embargo, dentro de los ciberdelitos, el ransomware no es el más extendido ni el más utilizado, a pesar de sus efectos. Durante 2020 este método representó “solo” el 5% de los ataques en la red. Los criminales en la red prefirieron lucrarse con delitos relacionados con la cripto minería (21%), el robo de información (16%), o el robo de nuestros datos bancarios a través de malware (14%).
No obstante, para hacer una correcta dimensión de ese “pequeño problema”, calculamos que, cada 10 segundos, durante 2020 una organización, institución, empresa o personas recibió un ataque de ransomware. Cada día, cuando nos conectamos a la red, nos enfrentamos a unos 10.000 y unas 100.000 páginas en la red preparados para infectarnos con este tipo de malware.
Cada 10 segundos, durante 2020 una organización, institución, empresa o personas recibió un ataque de ransomware
Como en otras ocasiones ya les indiqué, el mundo del ciberdelito está tremendamente especializado y organizado.
Sin entrar en muchos detalles por no aburrirlos, les diré que estos softwares funcionan con tres componentes básicos. Si hacemos un símil, para que sea más entendible, consta de un robot, por un lado, y una carga de instrucciones programables. Un loader y un payload, en inglés. Estos además se comunican con su base a la que mandan y reciben instrucciones, lo que llamamos Command and Control (C&C).
Qué es el ransomware: El correo electrónico, la principal entrada
El vector principal de entrada del “robot/malware” es, en la mayoría de los casos, el correo electrónico. Recibimos muchos, y en una situación como la pandemia, más, aunque cualquier medio para que hagamos clic en un enlace les sirve. Y estos correos son cada vez más sofisticados y con más variedad y apariencia de credibilidad.
Puede que lo reciba de una cuenta vulnerada de un amigo, de un proveedor o de un compañero de trabajo. Incluso puede que contenga partes de una conversación que ya tuvieron por correo. E incluye, como no, un archivo, un pdf, una hoja de cálculo de Google, etc., enmascarada como “la factura”, “el contrato”, o cualquier cosa que se les ocurra y les suene familiar.
Una vez hacemos clic el equipo, si es vulnerable porque no está actualizado, o porque el usuario que usted utiliza tiene derechos de administración sobre su escritorio, o no está actualizado el sistema operativo, etc, ya está “infectado”. No notará nada más durante un tiempo, pero el equipo comunica a la base el hecho, aportando información y esperando instrucciones.
Mientras, despliega una “baliza” que reconocerá y mapeará el terreno descubierto. Es decir, extraerá toda la información que pueda sobre la configuración de su red, qué carpetas se comparten, los servidores y equipos que la componen, y todo lo que pueda. Mientras, va transmitiendo esos datos a los delincuentes. Y usted seguirá sin notar nada. Por supuesto, si encuentra más máquinas vulnerables, el malware seguirá desplegando “bots” en aquellas que pueda. Y transmitiendo cada vez más y más información. Todo listo.
No hay garantías, pero muchos pagan
Al cabo de unos días, y con la información en la mano, los bots recibirán sus instrucciones, y empezarán a cifrar y secuestrar toda la información y dispositivos que puedan. Y usted recibirá un correo comunicándole el secuestro de todo ello. Si quiere revertir la situación debe pagar una cantidad. Nada le garantiza que todo vuelva a la normalidad, pero muchos pagan. Y callan, por los daños reputacionales, por la pérdida de confianza, porque no les echen la bronca los jefes, etc. Pagan. Y los delincuentes lo saben.
Históricamente organizaciones y empresas como Ayuntamiento de Jerez, en octubre de 2019, la Cadena SER (grupo editor de EL PAÍS) y la consultora Everis también sufrieron ataques de esquema similar, a los que podemos añadir Prosegur. Pero ha sido durante 2020 cuando estos delincuentes fijaron sus objetivos principalmente en países como USA o Canadá, y lo que es más grave, en instalaciones sanitarias.
El caso de Universal Health Services y Adeslas
En hospitales, principalmente. Universal Health Services, por ejemplo, sufrió un ataque que afectó a más de 250 hospitales, clínicas e instalaciones sanitarias. California, Oregón y Nueva York, entre otros, afectados. En plena pandemia. Se calcula que solo en rescates costaron más de 150 millones de dólares. Pero los daños en instalaciones que soportan las cosas más básicas y necesarias para la vida no miden el coste en el daño a las personas que las utilizan. Personal sanitario, pacientes, etc.
En España tuvimos el caso de Adeslas. Cuando las agencias de inteligencia se percataron de lo que iba a suceder ocurrió algo que les parecerá insólito, pidieron a través de terceros, que, debido a la situación gravísima de pandemia y la necesidad de mantener estos servicios, ya de por si desbordados, a los grupos conocidos especializados en este delito que no los atacaran. Algunos de estos grupos se comprometieron a respetar esta tregua, pero hubo uno que dijo: no.
Ransomware: que es Ryuk y cómo atacó al SEPE
En realidad, Ryuk es un software. Su predecesor se llamaba Hermes y era vendido por 300 dólares en 2017 en los foros de Deep Web. Paquetes adicionales con direcciones de correo a atacar por 50 dólares.
En 2018 su código fue adaptado y nació Ryuk. Usamos este término refiriéndonos a un grupo de personas que utilizan un determinado software. Eso conviene aclararlo. Pero como en todas organizaciones, y tal como les he descrito como funcionan, esto está organizado. Necesitamos para ello, por ejemplo, bases y comunicaciones e infraestructura que la comunican.
Los especialistas en este caso utilizan lo que llamamos alojamientos a prueba de balas. Un equivalente en la vida real es los narcopisos. Hay alojadores que cuentan con ellas y simplemente hacen la vista gorda ante el uso de grupos de delincuentes. Y no están ocultas en países del Este, ni en la estepa siberiana. Están en países europeos, con legislaciones europeas, y con controles que simplemente, o no sirven, o no son efectivos. La utilizada en el ataque puede apuntar a Holanda, como ya ocurrió en 2018, donde se desmanteló después de cientos de denuncias, un proveedor llamado Maxided. O Alemania.
Y los que operan y mantienen las bases pueden ser cualquiera, desde cualquier sitio. Hay algunos conocidos, con empresas y Nick, e incluso pasaporte. Uno de ellos, involucrado en dar asistencia y operar este tipo de instalaciones, es ucraniano, por ejemplo. “Yalishanda”, o Alexander Alexandrovich, no un desconocido.
En 2011 se anunciaba con textos como este :
-Based in Asia and Europe.
-It is allowed to host: ordinary sites, doorway pages, satellites, codecs, adware, tds, warez, pharma, spyware, exploits, zeus, IRC, etc.
-Passive SPAM is allowed (you can spam sites that are hosted by us).
-Web spam is allowed (Hrumer, A-Poster ….)-Forbidden: Any outgoing Email spam, DP, porn, phishing (exclude phishing email, social networks)
There is a server with instant activation under botnets (zeus) and so on. The prices will pleasantly please you! The price depends on the specific content!!!!
¿O rusos, por qué no? Incluso los grupos que explotan estos centros son conocidos. Recuerden este nombre porque lo oirán pronto : UNC1878
☷
Ransomware
Ciberataque al SEPE
Cualquier cosa vale y es posible en un mundo tan desconocido, y donde la seguridad siempre fue lo de menos. ¿Verdad?, hasta que ocurren los desastres. En seguridad siempre decimos que una cadena es tan segura como el más débil de sus eslabones. Este eslabón, sin duda, somos nosotros mismos, los usuarios. En esto de la seguridad, desgraciadamente, no hemos aprendido mucho. Parece que solo lo valoramos cuando el desastre nos sucede a nosotros, y hablamos de ello, normalmente para burlarnos, cuando sucede a los demás. Nadie está seguro al 100%. Nadie.
Estos criminales son especialistas, recuerden, y lo que quieren es dinero. Rápido. Lo demás no les importa en absoluto. No la política, no los daños a parados, no los daños a pacientes. Dinero. El nuestro.
Ha descrito bastante bien como funciona el malware y cual su vector de ataque pero ni un solo detalle sobre como se propago lateralmente y de forma tan amplia en el SEPE. No hay transparencia, ni información y se le culpa hasta a Putin. En España nadie es capaz de asumir sus errores, así nos va ¿ ¿Estaciones de trabajo con Windows XP ? ¿Por qué hay 1500 puestos de trabajo en remoto que dicen que no pueden trabajar por "seguridad"? Mas seguro trabajar por VPN SSL limitando el acceso a lo puramente necesario que dentro de una LAN ya que es una relación de confianza. No tiene sentido
Después de saber que recuperaron la web del WayBack machine me espero cualquier cosa ya que eso es lo mas trapero que he visto en mi vida y mira que he visto cosas en 15 años de experiencia. Y luego que no pidan un rescate económico, uhm no se Rick... Me da que han pagado y no les han enviado las claves o hasta que se a de falsa bandera porque aquí solo hay dinero para panfletos como este, chiringuitos para chocho charlas de charos, estudios de perspectiva de genero en la formación de cirroestratos u hoteles de lujo para inmigrantes ilegales pero para el trabajador medio que le han chupado la sangre a impuestos, a esos ni mierda.
Como dicen por arriba, no será en la Hacienda o la Agencia Tributaria. A la cueva de Alí Baba y los 40 ladrones no afecta.
En definitiva este es un articulo que se puede resumir "Mirad, les ha pasado a mas empresas y organismos y no es porque la infraestructura informática de las administraciones públicas sea una chapuza cochambrosa". Ya sabemos bajo las ordenes de quiénes escribís. Si gobernase la derecha este artículo sería un repaso de las deficiencias del sistema informático por los recortes de hace 20 años o por Franco.
Ni medio de comunicación ni fast checking. No sois mas que propaganda orwelliana subvencionada por elites globalistas. Pero da igual porque como dice Antonio Escohotado, La Verdad se impondrá sola, porque solo las mentiras necesitan la subvención del Estado.
PD: Me encanta que Newtral no te permita hacer copy paste de su Web pero luego defienden a capa y espada la rapiña y el robo institucionalizado en forma de impuestos a los demás. "Lo mío pa' mi lo tuyo pa' todos". Es así Ana Pastor?
Necesitas medicación
Que casualidad que no ataque a la S.S o a la Hacienda pública, como muchos no creo en el ciber ataque
Respecto a este párrafo "En España tuvimos el caso de Adeslas. Cuando las agencias de inteligencia se percataron de lo que iba a suceder ocurrió algo que les parecerá insólito, pidieron a través de terceros, que, debido a la situación gravísima de pandemia y la necesidad de mantener estos servicios, ya de por si desbordados, a los grupos conocidos especializados en este delito que no los atacaran ..."
Primero, creo intuir que el desencadenante que indicas para que las agencias de inteligencia pidiesen a grupos de delincuentes una tregua es el caso de Adeslas. ¿Y el de Mapfre unas semanas antes no?. Para mí esto supone una incongruencia.
En cualquier caso yo tengo muy serias dudas de que esto que dices haya ocurrido. ¿Estás seguro de que tu fuente es fiable?. Mi información, que considero fiable, es que las agencias de inteligencia realizaron otras acciones muy diferentes.
Así es
Muy clarito!!