Ayer, a primera hora de la mañana, el SEPE (Servicio Público Estatal de Empleo) sufrió un ciberataque que obligó a suspender la actividad y aplazar todas las citas del día, además de bloquear su web. Hoya todavía no ha recuperado la normalidad y hay pocos detalles sobre lo sucedido. La única buena noticia es que parece que las copias de seguridad no se han visto afectadas ni su sistema informático interno con el que, por ejemplo, se generan los pago de prestaciones como las de los ERTE así que, en teoría, no debería haber problemas con las prestaciones aprobadas una vez que se solucione el problema. No está claro lo que ocurrirá con las prestaciones que se están tramitando y las que estaban previstas para estos días con cita previa. En esos casos, sí podría producirse algún retraso.
El incidente sufrido por el SEPE es una muestra más de que los ciberdelincuentes siguen mejorando sus técnicas, tácticas y procedimientos de ataque a todo tipo de empresas y organismos públicos. En las últimas semanas y meses se han hecho públicas brechas de seguridad como la sufrida por Microsoft la semana pasada, que demuestra la efectividad de grupos cibercriminales y que pueden afectar a centenares de miles de organizaciones.
Nuestra recomendación es siempre mantener los sistemas actualizados. El hecho de mantener, e incluso pretender proteger, versiones de sistemas operativos más que obsoletos desde hace años, no hace más que brindar facilidades a un potencial atacante, por muchos esfuerzos que se pongan en proteger esos equipos. Las consecuencias de ello las podemos ver de nuevo hoy, no solo a nivel de seguridad, sino también su resultado a nivel reputacional y de servicio, en un momento donde la disponibilidad de los servicios online es de vital importancia, y por el cumplimiento normativo con respecto al reglamento general de protección de datos.
Por otro lado, aunque aún no se ha confirmado la información, todo apunta a que se trata de una variante del conocido Ransomware Ryuk, del que venimos hablando desde hace años y que ha afectado a cientos de organismos públicos en EEUU y que también ha sido un dolor de cabeza para numerosos ayuntamientos y organismos públicos españoles. Ryuk, es un ransomware asociado a infecciones previas con el malware Emotet. Recientemente se informó de que se había desmantelado el principal grupo cibercriminal detrás de Emotet, y este nuevo incidente, puede indicar que el grupo sigue activo u otro grupo ha cogido el relevo utilizando las mismas o similares técnicas y herramientas.
Conviene recordar en este sentido, que sistemas de protección de nueva generación como la galardonada solución de Sophos Intercept X EDR, nos ayudan a permanecer protegidos frente a este tipo de amenazas tan destructivas gracias tanto a sus herramientas anti-ransomware , anti-Hacking y anti-exploit, así como a la capacidad investigar y mitigar todas las fuentes y restos de un ataque gracias a sus capacidades de detección y respuesta (EDR). Desde Sophos ya venimos avisando de que no es suficiente el tener los mejores sistemas de ciberseguridad sino que además es necesario el monitorizar de manera continua nuestros activos y entornos para poder detectar de manera proactiva cualquier potencial amenaza. Desde fabricantes de ciberseguridad como Sophos ya se ofrecen servicios de monitorización y búsqueda de amenazas (threat hunting) en 24×7 que pueden detectar y tomar acción para neutralizar un potencial ataque.
Por último, y debido al creciente número de empresas que se están detectando como insuficientemente protegidas, existen nuestro servicio de Rapid Response para ayudar también a aquellas empresas que estén siendo víctimas de un ataque, de forma que puedan mitigarlo, realizar un análisis forense y devolver sus sistemas a producción de la forma más rápida y segura posible.