El ransomware más rápido del mundo, al menos por el momento, puede encriptar 53 GB de datos en solo cuatro minutos. LockBit se convierte así en una de las grandes amenazas actuales en ciberseguridad.
La velocidad y eficacia con la que los ataques de ransomware consiguen robar datos de usuarios y empresas define su nivel de peligrosidad. Si tenemos esto en cuenta, LockBit es hoy el ransomware más peligroso debido a su capacidad para encriptar 53 GB de datos en tan solo cuatro minutos y nueve segundos.
Así lo confirma un informe realizado por la plataforma de analítica de datos Splunk, en el que analizan los ransomware más peligrosos que existen actualmente. Para ello han analizado perfiles de víctimas en Windows 10 y Windows Server 2019 creados por ellos, así como diez familias distintas de este tipo de ataques.
Después de 400 ejecuciones de ransomware, los tiempos que tardaban en encriptar y secuestrar 53 GB de datos procedentes de 98.561 archivos han dejado constancia de las diferencias en los tiempos para completarlo.
La mejor marca ha sido una muestra de LockBit, que ha tardado 4 minutos y 9 segundo para encriptar esos 53 GB de datos en todo tipo de formatos: PDF, Word, fotos, vídeos, etc.
Sin embargo, de media, el resto de muestras de la misma familia tampoco es que hayan tardado mucho más, ya que el tiempo que han necesitado es de 5 minutos y 50 segundos.
Pero, después de LockBit, el segundo ransomware más peligroso es el de la familia Babuk, que ha tardado una media de 6 minutos y 34 segundos para encriptar esos 53 GB de datos. En tercer lugar se ha situado Avaddon, cuyo promedio de tiempo para encriptar esa cantidad de datos ha sido de 13 minutos y 15 segundos.
De todas las familias de ransomware analizadas, Mespinoza ha sido la que más ha tardado en llevar a cabo el secuestro de estos datos, con un tiempo de una hora, 54 minutos y 54 segundos.
Cómo actúa LockBit
La capacidad y peligrosidad de LockBit ha ido in crescendo desde su aparición en 2019 y funciona como ransomware como servicio (RaaS) en el que se contratan ataques en un marco de afiliados. Posteriormente, el rescate obtenido por el secuestro de datos se reparte entre el equipo de desarrolladores de LockBit y los atacantes afiliados, que, según Kasperky, reciben hasta tres cuartas partes de los fondos conseguidos.
A diferencia de otros tipos de ransomware, LockBit funciona por procesos prediseñados automatizados de forma que, al infectar manualmente un host, accede a otros para conectarlos y propagar la infección mediante un script. Todo un proceso en el que no hay intervención humana.
De esta forma, tras explorar las debilidades de una red, consigue infiltrarse realizando toda la actividad automáticamente y desactiva los programas de seguridad. Una vez conseguido, implementa la carga de cifrado poniendo un candado en todos los archivos del sistema. Las víctimas solo podrán recuperar esa información y desbloquear los sistemas si pagan el rescate solicitado para obtener la clave de acceso.
Reaccionar frente al ransomware
Sin duda, estos números ponen de relevancia cómo han avanzado este tipo de ciberataques ya que venimos de tiempos en los que se tardaban horas en acceder y encriptar la información. Con ello, una vez encriptada, los ciberdelincuentes piden un rescate por la clave para que la organización pueda recuperar esos datos.
El conocimiento de los datos de este informe de Splunk resultan fundamentales para avanzar en los tiempos de reacción que tienen los departamentos de TI para parar un ataque de este tipo y paralizar el cifrado de sus datos.
Algunos estudios apuntan que la media de tiempo que los responsables de TI tienen para responder a un ataque de ransomware es de unos 42 minutos. Sin embargo, lo más importante es establecer medidas de prevención para que el tiempo de reacción sea menor y minimizar el impacto.
Entre esas medidas es clave el control de acceso, monitorizando accesos a la red de todo tipo, desde los accesos remotos a los realizados por los usuarios a los no autorizados. Además, controlar la ejecución de determinadas acciones, como el acceso de los usuarios a páginas maliciosas a través de un enlace, o la descarga de un archivo infectado también es clave para parar un ataque a tiempo y que no sea más perjudicial.
Mantener los sistemas actualizados, no abrir correos electrónicos de remitentes desconocidos ni pinchar en enlaces sospechosos, y descargar solo de fuentes oficiales y de confianza también será clave para prevenir estos ataques. Si se ponen las medidas necesarias, el impacto y repercusión de estos ataques pueden evitar incurrir en pérdidas mayores.
La proliferación del ransomware es imparable y su peligrosidad, como ha constatado Splunk, va en aumento. Prevenir estas amenazas ya es un imperativo innegociable en las organizaciones si quieren garantizar la protección de sus datos. No invertir en medidas para luchar contra ellas, puede salir aún más caro.