Desde el pasado martes, el Ayuntamiento de Sevilla está paralizado debido a un ciberataque de ransomware que afectó a los sistemas informáticos del consistorio. A día de hoy, continúan las investigaciones de lo ocurrido y trabajan en volver a la normalidad cuanto antes, aunque han reconocido que esto llevará tiempo. Por el momento, la web del Ayuntamiento sigue sin funcionar, así como todos los servicios digitales al ciudadano. Han vuelto al lápiz y papel, y el responsable es un ransomware: LockBit.
Esta no es la primera vez que copa titulares de todo el mundo. El término LockBit hace referencia tanto al software malicioso que ha infectado los sistemas como al grupo cibercriminal que está detrás del ataque, especializado en este tipo de ciberataques basados en el secuestro digital de sistemas e información.
LockBit está especializado tanto en el ransomware “tradicional” como en el de doble extorsión.
En el ransomware, a través de un payload o carga maliciosa, normalmente un archivo infectado en un correo electrónico, logran infectar un sistema, que queda cifrado y bloqueado. La empresa u organización solo podrá recuperar el acceso si pagan la cantidad de dinero que solicitan los cibercriminales, para poder recibir la clave de descifrado. Hasta cinco millones de euros han llegado a pedir en el caso del Ayuntamiento de Sevilla.
En el secuestro de doble extorsión, además de cifrar los archivos, roban información confidencial y amenazan con publicarla si no se paga el rescate. Esto es lo que le ocurrió por ejemplo a la empresa Thales, víctima de LockBit.
🔴 AVISO IMPORTANTE 📣 El Ayuntamiento se ha visto afectado por un ataque informático. Los servicios se han interrumpido como medida de precaución hasta conocer el alcance concreto del ciberataque.
Estamos trabajando para poder restablecer la normalidad lo antes posible. pic.twitter.com/eOogsOctib
— Ayuntamiento de Sevilla (@Ayto_Sevilla) September 5, 2023
Así actúa LockBit: profesionalización, innovación y reutilización de código
El cibercrimen está cada vez más profesionalizado. Da igual cuándo leas esto. Es una realidad a la que se enfrenta todo el sector de la ciberseguridad.
Esto quiere decir que son grupos formados por personas bien entrenadas, con altas capacidades técnicas y que además están bien organizados y coordinados. Cuentan incluso con su propio sitio web en la dark web, en el que publican información sobre los ataques perpetrados. Han llegado incluso a organizar un programa de Bug Bounty, ofreciendo hasta un millón de euros para que investigadores encuentren (y les reporten) vulnerabilidades.
De hecho, las investigaciones apuntan a que LockBit actúa como un ransomware-as-a-service, o ransomware como servicio.
Esto es un modelo de afiliación, en el cual se reclutan afiliados para realizar ataques de ransomware mediante las herramientas e infraestructura de LockBit.
Debido al gran número de afiliados, algunos desconectados entre sí, se ha observado que las técnicas de LockBit tienen diferencias en función del ataque.
El grupo LockBit comenzó a actuar en septiembre de 2019, conocida inicialmente como “ABCD”. Desde entonces no ha dejado de ganar protagonismo y titulares, al mismo tiempo que perfeccionaba sus técnicas de ataque.
Otra de sus características es la reutilización de código de otros grupos o ransomware.
Varios expertos han apuntado que LockBit salió a la sombra de la ya desaparecida banda de cibercrimen Conti. De hecho, investigaciones de Kaspersky constatan que LockBit ha llegado a usar hasta el 25% de código usado por Conti, así como código malicioso de otros grupos de malware como BlackMatter o DarkSide.
Y es que la innovación constante es otra de sus características. De hecho, las distintas versiones de su software malicioso se nombran por su versión: LockBit 3.0 es la última conocida.
Además de las ya mencionadas, algunas de las empresas y organismos más destacados que han sido objetivo de ataques perpetrados por LockBit han sido el Correo Británico, Ion Group o Continental.
También ocupó titulares por atacar a un hospital infantil de Canadá, tras lo cual pidió disculpas y entregó el descifrador.
Cómo evitar (y solucionar) un ataque de ransomware
Los expertos coinciden: todos, organismos y usuarios, son potenciales víctimas.
También coinciden en las medidas preventivas que se deben tomar. Estas pasan por una estrategia de ciberseguridad que tenga en cuenta el antes, durante y después de un posible incidente. En la prevención, entra en juego la formación y concienciación, para que los usuarios y empleados estén informados y no caigan en la trampa, así como la implementación de tecnología y monitorización para evitar que lleguen o tengan éxito los ataques. Por supuesto, medidas de recuperación como contar con copias de seguridad de toda la información son fundamentales.
“Ninguna empresa o institución pública está libre de sufrir un ciberataque. Para luchar contra los ataques es importante invertir en tecnología, profesionales y procesos”, explica Pablo San Emeterio, fundador de VAPASEC Technology Consulting.
En el caso del Ayuntamiento de Sevilla parece que el ataque proviene de un phishing, un correo malicioso enviado a los empleados. “En otras ocasiones el ataque se produce contra los ordenadores expuestos en Internet”, explica el experto. “Una vulnerabilidad en una aplicación expuesta a Internet permite a un atacante tomar control de esas máquinas y a partir de ahí el atacante puede robar datos o bloquear los equipos”.
Para proteger estas vías de ataque, apunta San Emeterio, es importante “invertir en monitorizar qué máquinas se tienen expuestas en Internet, analizar sus vulnerabilidades, proteger el correo electrónico, proteger las páginas web, hacer copias de seguridad y formar a los empleados en los riesgos tecnológicos”.
Por su parte, Luis Corrons, Security Evangelist de Avast, opina que, “para volver a ser operativo el Ayuntamiento necesita, por un lado, analizar el origen del ataque para cerrar las puertas y evitar que pueda volver a suceder. Además, deberá restaurar la información desde las copias de seguridad que tenga a su disposición. Hasta que no se lleven a cabo todos estos pasos, todos los ordenadores que estén conectados a la red estarán en peligro”.
