El Servei Públic d’Ocupació Estatal (SEPE) continua amb la seva plataforma informàtica paralitzada per un ciberatac que afecta el sistema des d’aquest dimarts. Els treballadors de les oficines van haver d’apagar els ordinadors a mig matí per evitar que el ransomware s’estengués a més equips, i a l’espera d’un restabliment a curt termini, però 24 hores després, tot continua igual. El virus ha segrestat part de la infraestructura, l’ha encriptat i ha obligat la plantilla a recórrer al bolígraf i al paper, com anys enrere, per poder cobrir un servei clau en plena crisi del coronavirus.

El culpable dels problemes ha estat Ryuk, un virus extorsionador rus que els últims tres anys ha fet de les seves en administracions públiques com l’Ajuntament de Jerez de la Frontera o empreses com Everis i Prosegur. Amb el temps, però, el seu disseny ha anat guanyant complexitat i s’ha fet més infranquejable per als informàtics que s’han d’enfrontar a ell. La seva estratègia consisteix a entrar al sistema i robar informació per iniciar el xantatge: si no es paga una recompensa per recuperar-la, es perd o es publica a la xarxa, el que suposa deixar al descobert dades personals de la ciutadania i del propi organisme públic. En aquest cas, el Ministeri de Treball ha negat haver rebut cap xifra per al rescat de la plataforma i fonts del SEPE han negat que hi hagi afectacions en el pagament de prestacions o nòmines, ni que s’hagi detectat cap pèrdua de dades perquè estaven desades en còpies de seguretat. Tant els informàtics del servei d’ocupació com el Centre Criptogràfic Nacional, que depèn del CNI, treballen per resoldre la incidència.

Fins ara, se sap que Ryuk acostumava a distribuir-se a la xarxa a través d’un troià bancari anomenat Emotet o mitjançant un botnet –xarxes d’ordinadors infectats- conegut com Trickbot, que va ser desactivat el passat mes d’octubre.

Com es recupera el sistema?

Davant una situació com la que viu el SEPE, el primer consell que donen els experts és no pagar mai. D’una banda, perquè no se sap si els criminals compliran amb el seu compromís i, de l’altra, perquè suposaria contribuir a l’estratègia. Tot seguit, cal anar ordinador per ordinador per netejar-lo. “Fins que no s’hagi eliminat la infecció, s’hagin restaurat les còpies de seguretat i s’hagi d’anar a l’origen de l’atac, qualsevol equip de la xarxa podria estar en perill”, apunta el security evangelist d’Avast, Luis Corrons, qui afegeix que l’encriptació de les dades també provoca la impossibilitat d’accedir a elles per treballar.

I què s’ha de fer quan no es compta amb un back up? “La cosa es complicat perquè aquests virus com el Ryuk i famílies semblants estan dissenyats perquè sigui difícil fer un procés invers de recuperar el contingut original”, afirmen fonts del Catalonia-CERT a MetaData. Aquests ransomware treballen de manera que xifren la informació perquè no hi pugui accedir ningú més que els ciberdelinqüents, que són qui tenen la clau. “Es pot donar el cas que, amb la intervenció de les forces de seguretat, s’aconsegueixi controlar les eines i la infraestructura dels hackers i es recuperi l’accés, però no passa sovint”, comenten. Per tant, quan no hi ha aquesta còpia per recuperar les dades, la recomanació és fer “una reinstal·lació des del principi per reconstruir la infraestructura de zero i evitant que els atacants hagin deixat una segona porta d’accés a mig obrir que els permeti entrar de nou”.

Davant un atac, cal netejar els equips i restaurar les còpies de seguretat o reinstal·lar de zero tot el sistema i construir de nou la infraestructura si no hi ha ‘back up’

Els últims dos anys s’ha multiplicat el nombre d’atacs; alguns han transcendit, d’altres, no. “Fa uns mesos Endesa en va patir, però es van recuperar en qüestió d’hores perquè van detectar el problema aviat”, comenta Corrons, “en aquest cas el nivell de preparació no sembla ser el mateix i es podria trigar setmanes a tornar a la normalitat”. Tot i que reconeix que no compta amb prou coneixement respecte a l’estat del sistema, assenyala a la caiguda total de “les operacions de les oficines i serveis com el lloc web del SEPE” com un indicador que “els atacants han accedit a bona part de la infraestructura”.

La porta d’entrada dels virus

Els correus maliciosos són una de les principals vies d’accés dels cibercriminals als ordinadors i dispositius. Amb el simple fet de fer clic a un enllaç, es dona accés al hacker perquè instal·li un programari de control remot o algun altre virus per prendre el control de l’equip. Una altra manera d’accedir a les dades, assenyalen des del Catalonia-CERT, és detectar vulnerabilitats en servidors a internet i aprofitar-les. O, com a tercera opció, adquirir les credencials d’una infraestructura IT.

Un cop són a dins de l’organització, s’estenen per tots els equips per intentar identificar els servidors de back up o els controladors de domini, el que serien “les peces clau de l’organització corporativa per identificar punts crítics i saber on atacar per fer mal”. En aquesta mateixa operació, es desplega el ransomware, que pot fer-ho per tota la infraestructura o anar només al correu, a les dades de comptabilitat o al sistema de fitxers, entre altres. El següent pas és demanar un rescat. De fet, aquest és el tret d’aquesta mena de virus. Deixen les dades indisponibles i es posen en contacte amb l’empresa. Expliquen què ha passat i posen una xifra per aconseguir el rescat.

Tot i que trascendeixen casos que demanen rescats amb quantitats elevades o atacs a grans empreses, l’expert del Catalonia-CERT afirma que no sempre està tot pensat al mil·límetre: “Alguns grups de cibercriminals reben llistes de milers de comptes de correu i fan una distribució massiva o troben un servidor proven d’entrar-hi. Si ho aconsegueixen, fan una tasca inicial de descobriment per veure on aterrat i, quan s’han situat i tenen coneixement sobre l’empresa, decideixen si actuen, com i quants diners demanen”.

Més inversió i coneixement

L’aturada dels més de 760 espais d’atenció presencial i telemàtica del SEPE a l’Estat espanyol ha portat la Central Sindical Independent i de Funcionaris, sindicat més representatiu a les administracions públiques, a acusar l’organisme públic de no invertir en una modernització del sistema. En un comunicat oficial, el CSIF ha lamentat que fa mesos que demana “un decidit suport en inversió tecnològica, ja que les aplicacions i sistemes informàtics tenen una antiguitat mitjana de 30 anys”.

El sindicat CSIF reclama “inversió tecnològica” per modernitzar una infraestructura amb una antiguitat “mitjana de 30 anys”

Per poder fer front als atacs, comptar amb hardware i software adequat és el primer pas. Tal com explica Corrons d’Avast, per minimitzar el risc cal que el programari dels ordinadors estigui actualitzat, protegit i desat en còpies offline, però també cal un equip d’experts en matèria de ciberseguretat capaços d’actuar amb rapidesa per “detectar on és la bretxa, supervisar els equips, buscar patrons estranys en el trànsit i evitar un atac a gran escala”.

Més enllà de comptar amb tallafocs, el country manager de Proofpoint, Fernando Anaya, afegeix que cal tenir una “resposta preparada i provada”. “Es tracta de tenir una protecció proactiva, amb còpies de seguretat de les dades emmagatzemades de manera externa i aplicar rutinàriament accions que mantinguin els sistemes actualitzats per evitar que les amenaces arribin als empleats”. I és que precisament els treballadors són la primera porta d’entrada, pel que subratlla que hi ha una manca de consciència respecte a la formació del personal perquè sigui capaç d’identificar qualsevol indici d’atac tant en fase primerenca com en posteriors etapes on es reclama un pagament per al retorn de les dades.