La Policía Nacional está alertando de una nueva campaña de distribución de LockBit Locker, un sofisticado ransomware ejecutado por el grupo cibercriminal con el mismo nombre. El ransomware es un software malicioso que cifra los archivos de los dispositivos a cambio de un rescate económico, y en el caso de LockBit con un modus operandi diferente al habitual.
La Unidad Central de Ciberdelincuencia de la Policía Nacional informa de que ha detectado una nueva oleada de correos electrónicos, que por ahora están afectando especialmente a empresas de arquitectura, pero “no se descarta que amplíen su acción a otros sectores”, advierten, por lo que se recomienda máxima atención.
En esta ocasión, la campaña detectada tiene un alto nivel de sofisticación.
Las víctimas no sospechan que han sido víctimas de un ciberataque hasta que es demasiado tarde y el dispositivo ha sido cifrado, sin posibilidad de descifrarlo.
Y es que LockBit no es un ransomware al uso.
Cómo funciona esta nueva oleada de LockBit
Los agentes han detectado envío de correos electrónicos desde un dominio malicioso, entre ellos se destaca “fotoprix.eu”.
En estos mensajes, los ciberdelincuentes suplantan la identidad de la empresa fotográfica Fotoprix, solicitando un presupuesto para realizar una reforma en sus instalaciones.
Al contrario que en otros tipos de ransomware en el que el payload (la carga maliciosa) está en ese primer correo, en forma de archivo malicioso o enlace a una web fraudulenta, los miembros de LockBit hacen uso de la ingeniería social para hacer más difícil la identificación de la estafa.
En este sentido, el ciberdelincuente intercambia varios correos electrónicos con las víctimas que responden a ese primer correo, e incluso llegan a proponer una fecha para reuniones y concretar el presupuesto. Como requisito previo, tenían un archivo que contiene supuestamente documentos con las especificaciones de la reforma, para que la empresa de arquitectura ajuste el presupuesto.
Los agentes explican que las comunicaciones de los ciberdelincuentes resultan concordantes y congruentes, por lo que se trata de una campaña con un alto nivel de sofisticación.
Si la víctima cae en esta trampa y descarga y ejecuta el archivo, el dispositivo queda automáticamente cifrado y bloqueado.
En ese momento, los cibercriminales solicitan el rescate económico para recuperar el acceso al dispositivo y fichero. Las instrucciones las hacen llegar a través de un archivo .txt que aparece en el equipo infectado.
Evitar ser víctima de estos ciberataques pasa por mantenerse informado sobre su funcionamiento, así como la formación y concienciación en materia de ciberseguridad, que permite identificar este tipo de modus operandi.
En el caso del ransomware, es importante no interactuar con correos o mensajes no solicitados o sospechosos, verificar la identidad del remitente contactando por otra vía, no descargar archivos adjuntos o acceder a enlaces hasta no verificar lo anterior.
Contar con copias de seguridad de todos los archivos es fundamental en el caso de que seamos víctima, ya que conseguir la clave de descifrado no será posible sin “pasar por caja”, algo desaconsejado.
Algo pasa con LockBit: el polémico grupo ransomware
Se estima que este ransomware lleva activo desde 2019, ejecutado por el grupo cibercriminal LockBit, totalmente profesionalizado. Todo tipo de usuarios, empresas y organismos han sido ya víctimas de este grupo. Se ha convertido ya en uno de los ransomware más prolíficos.
Polémico por sus agresivos ataques y su intensa actividad, el pasado mes de enero protagonizó titulares por haberse disculpado tras atacar “por error” a un hospital infantil de Canadá, que se quedó sin acceso a sus sistemas por un ataque de ransomware ejecutado por el grupo LockBit. Les ofrecieron la herramienta para descifrar el software malicioso y que pudieran retomar la actividad.
Así es LockBit, el ransomware más prolífico que amenaza a empresas de todo el mundo
