Ryuk, BitPaymer, BlueKeep o bug en Teams: posibles causas del ciberataque a Everis y La Ser

La semana comenzó ayer con un sobresalto en varias empresas españolas: un ciberataque había afectado a los sistemas de varias, de las que Everis y la Cadena Ser, del Grupo Prisa Radio, fueron las más afectadas. Ambas tuvieron que desconectar sus sistemas, infectadas por un ransomware, y sus empleados no tuvieron otro remedio que marcharse a casa a trabajar o hacerlo con unos medios muy limitados: sin poder acceder a sus equipos ni a Internet desde su puesto de trabajo.

Mientras, los rumores de que otras empresas estaban afectadas corrían como la espuma, y consultoras como Accenture o KPMG acudieron a las redes varias horas después de iniciados los ciberataques para desmentir que estuviesen afectadas. Otras compañías decidieron, a la vista de los acontecimientos, tomar precauciones y desconectar sus sistemas para comprobar su estado y cerciorarse de que no les había tocado la china del ciberataque.

Una vez pasadas las primeras horas de nervios, que trajeron a muchos recuerdos de lo sucedido con WannaCry en 2017, llegó el momento de hacer recuento de daños y de investigar lo sucedido. El Incibe emitió un comunicado en el que confirmaban que estaban al tanto de lo ocurrido y anunciaban que trabajaban con las empresas afectadas para recuperar sistemas y evaluar daños. El DSN también confirmó que tenían conocimiento del ataque a La Ser, además de ofrecer algunos breves detalles sobre este tipo de incidentes.

Mientras, comenzaban a surgir las primeras preguntas sobre el origen de este ciberataque, que habían infectado con ransomware los equipos y sistemas de las empresas afectadas. Básicamente, como resultado del ataque, los archivos de los equipos y sistemas afectados habían visto como sus archivos quedaban cifrados e inaccesibles a no ser que se pagase la cantidad que se les solicitaba como rescate, que hasta ahora se desconoce.

Todo apuntaba a tres posibles vectores de entrada del ransomware en los sistemas, que habría llegado a través de un archivo asociado a un mensaje de correo electrónico y que tras ejecutarse afectó a los equipos con sistema operativo Windows. Por un lado, se especula con que la infección en la Cadena Ser se habría producido debido a una vulnerabilidad presente en el software de colaboración de Microsoft Teams. Por otro, de que la entrada se hubiese producido a causa de una de las múltiples campañas de spam detectadas en las últimas semanas.

Mientras tanto, otras voces apuntan a que los ataques pueden estar relacionados de alguna manera con la vulnerabilidad BlueKeep. Esta, descubierta el pasado mes de mayo, cuenta con una solución desde hace varios meses, ya que Microsoft emitió un parche que la solucionaba hace unos meses. Se trata de un fallo que afecta al Protocolo de Escritorio Remoto de Windows XP, 7 y Server 2008; y es bastante grave y peligroso, por lo que proteger el sistema mediante la instalación del parche que lo soluciona es, más que aconsejable, imprescindible.

El ransomware del ciberataque: ¿Ryuk o BitPaymer?

Independientemente del sistema empleado ayer para entrar en los equipos, está también el tipo de ransomware que afectó a las empresas. Por ahora se barajan dos opciones: Ryuk y BitPaymer. En Panda, tal como han manifestado a Europa Press, apuestan por este último. Expertos de esta compañía de seguridad han podido examinar la nota de rescate que los atacantes han enviado a algunas empresas afectadas y han asegurado que es muy parecida a la nota que reciben los afectados por BitPaymer, que se emplea en campañas de envío de spam.

Otras fuentes, según El Español, apuntan a un ransomware relativamente nuevo, llamado Ryuk, puesto que el mensaje que muestra en los equipos infectados es también parecido al que ha aparecido en redes sociales como el recibido por Everis. Los primeros indicios de su actividad surgieron en verano de 2018, y en los últimos meses, con una nueva versión, se ha expandido bastante. Sus creadores lo desarrollaron específicamente para ataques a empresas, y en función de la compañía que resulta afectada en cada caso establece el rescate que piden para devolverle el acceso a sus archivos. De hecho, el primer mensaje qua aparece en los equipos infectados por Ryuk no especifica la cantidad a pagar para obtener la clave que desencripte los archivos de los equipos infectados.

Generalmente, el pago que se pide a las empresas afectadas por Ryuk, tal como sucede con otros ataques, debe hacerse en Bitcoin u otras criptomonedas. De hecho, en el mensaje que se muestra en los equipos infectados sí aparece una dirección de un monedero virtual para efectuar los pagos solicitados. También se dan emails para contactar con los atacantes, y una clave, que es el identificador correspondiente a la empresa. De esta manera los atacantes conocen de qué compañía les están contactando, un dato que pueden emplear para establecer la cantidad a pagar por el rescate.

La nueva versión de Ryuk, aparecida hace apenas unos días, permite a este malware distribuirse de manera automática por los ordenadores conectados a una red. Y lo hace incluso si estos están en suspensión, lo que consigue enviando paquetes que consiguen que el equipo salga del estado de suspensión si recibe una orden determinada.

Sea cual sea el ransomware empleado en el ciberataque, se pone de manifiesto que para impedirlos no queda otra que tener un cuidado extremo con los archivos recibidos por correo electrónico, además de parchear los equipos frente a vulnerabilidades en cuanto aparece una solución. También es aconsejable actualizar los equipos siempre que sea posible. Y, en caso de caer víctima de un ataque de ransomware, no pagar y contactar con las autoridades y con expertos que puedan ayudar a recuperar los archivos y los sistemas dañados.