El grupo de cibercriminales Lockbit parece estar detrás del reciente ciberataque contra el Ayuntamiento de Sevilla parece. Entelgy Innotec Security explica quién es este grupo y en qué consiste el ciberataque sufrido por el consistorio y los diferentes niveles de extorsión a los que los ciberdelincuentes suelen someter a sus víctimas en este tipo de casos.
El Ayuntamiento de Sevilla ha sufrido un ciberataque presuntamente perpetrado por el grupo de ciberdelincuentes conocido como Lockbit, que ha secuestrado y cifrado datos del consistorio para cuya liberación ahora pide un rescate cuantioso. Por su parte, el Ayuntamiento ha mostrado su rechazo a cualquier posibilidad de negociación y mucho menos a pagar la cantidad exigida por el grupo cibercriminal.
LockBit es una familia de ransomware desarrollada por el grupo Bitwise Spider que, al igual que la gran mayoría de sus homólogos, es distribuido en forma de ransomware ‘as a service’ (RaaS). En 2022 perpetró 764 ciberataques exitosos de ransomware, constituyéndose como la familia más activa a lo largo de todo el año. A pesar de ello, redujo sus operaciones, entre otras cosas, tras haberse filtrado información relevante sobre la forma en que actúa este tipo de ransomware. Sin embargo, el grupo que desarrolla este malware demostró una elevada capacidad para sobreponerse ante las adversidades.
“El ciberataque al Ayuntamiento de Sevilla supone una toma de conciencia para la sociedad española, compañías privadas y Administración Pública respecto a la importancia que tiene poner atención a la ciberseguridad. Lockbit es una de las mayores amenazas actuales en el mundo digital, pero no es la única. El phishing, los ataques DDoS y el malware evolucionan cada día, se profesionalizan y, en ocasiones, se utilizan de manera conjunta para conseguir un impacto mayor. Aunque, sin duda, en la actualidad el ransomware es la amenaza que más se monetiza y más evoluciona, por lo que debemos estar preparados para hacerle frente”, explica Enrique Domínguez, Director de Estrategia de Entelgy Innotec Security.
Añade que en los últimos tiempos ha proliferado la conocida como ‘triple extorsión’ en ransomware. Consiste en que los ciberatacantes acceden a los sistemas de una organización a través de diferentes técnicas, despliegan el malware que bloquea los equipos y sistemas de la víctima, cifrándolos y exigiendo un rescate para facilitar la clave de descifrado (un pago que suele solicitarse con criptomonedas o tarjetas de crédito). Posteriormente, amenazan con publicar la información sustraída, con la consiguiente crisis de reputación por parte de la organización víctima del ataque. Después, los atacantes amenazan con un ataque de denegación de servicio (DDoS), enviando multitud de solicitudes al recurso web atacado con la intención de desbordarlo y provocar una caída de su servicio.
No obstante, en la actualidad empiezan a proliferar también los casos de cuádruple extorsión, una vuelta de tuerca más con la que se añade una capa adicional a los ataques de ransomware. Por tanto, además de todo lo anterior, se añade una etapa agresiva de acoso y chantaje a los clientes, empleados, socios comerciales o contactos cuyos datos han sido exfiltrados. “Con este último paso los ciberdelincuentes aumentan la presión sobre la compañía víctima del ciberataque e intentan que sean sus contactos los que promuevan que la compañía pague el rescate solicitado”, asegura Domínguez.
Imagen: freepik
