El Ayuntamiento de Sevilla ha sufrido un ciberataque presuntamente perpetrado por el grupo de ciberdelincuentes conocido como Lockbit, que ha secuestrado y cifrado datos del consistorio para cuya liberación ahora pide un rescate cuantioso. Por su parte, el Ayuntamiento ha mostrado su rechazo a cualquier posibilidad de negociación y mucho menos a pagar la cantidad exigida por el grupo cibercriminal.
LockBit es una familia de ransomware desarrollada por el grupo Bitwise Spider que, al igual que la gran mayoría de sus homólogos, es distribuido en forma de ransomware ‘as a service’ (RaaS). En 2022 perpetró 764 ciberataques exitosos de ransomware, constituyéndose como la familia más activa a lo largo de todo el año. A pesar de ello, redujo sus operaciones, entre otras cosas, tras haberse filtrado información relevante sobre la forma en que actúa este tipo de ransomware. Sin embargo, el grupo que desarrolla este malware demostró una elevada capacidad para sobreponerse ante las adversidades.
“El ciberataque al Ayuntamiento de Sevilla supone una toma de conciencia para la sociedad española, compañías privadas y Administración Pública respecto a la importancia que tiene poner atención a la ciberseguridad. Lockbit es una de las mayores amenazas actuales en el mundo digital, pero no es la única. El phishing, los ataques DDoS y el malware evolucionan cada día, se profesionalizan y, en ocasiones, se utilizan de manera conjunta para conseguir un impacto mayor. Aunque, sin duda, en la actualidad el ransomware es la amenaza que más se monetiza y más evoluciona, por lo que debemos estar preparados para hacerle frente”, explica en una entrevista para Bytic Enrique Domínguez, Director de Estrategia de nuestra compañía de ciberseguridad.
Además, añade que en los últimos tiempos ha proliferado la conocida como ‘triple extorsión’ en ransomware. Consiste en que los ciberatacantes acceden a los sistemas de una organización a través de diferentes técnicas, despliegan el malware que bloquea los equipos y sistemas de la víctima, cifrándolos y exigiendo un rescate para facilitar la clave de descifrado (un pago que suele solicitarse con criptomonedas o tarjetas de crédito). Posteriormente, amenazan con publicar la información sustraída, con la consiguiente crisis de reputación por parte de la organización víctima del ataque. Después, los atacantes amenazan con un ataque de denegación de servicio (DDoS), enviando multitud de solicitudes al recurso web atacado con la intención de desbordarlo y provocar una caída de su servicio.
No obstante, en la actualidad empiezan a proliferar también los casos de cuádruple extorsión, una vuelta de tuerca más con la que se añade una capa adicional a los ataques de ransomware. Por tanto, además de todo lo anterior, se añade una etapa agresiva de acoso y chantaje a los clientes, empleados, socios comerciales o contactos cuyos datos han sido exfiltrados. “Con este último paso los ciberdelincuentes aumentan la presión sobre la compañía víctima del ciberataque e intentan que sean sus contactos los que promuevan que la compañía pague el rescate solicitado”, asegura Domínguez.
Por otro lado, nuestro experto ha ofrecido una entrevista para el informativo 24 Horas de Radio 5 todo noticias (RNE) sobre el ciberataque al Ayuntamiento de Sevilla, donde ha comentado que “este tipo de ataques deja prácticamente fuera de servicio a todos los sistemas de una organización, y es un proceso laborioso y lento”. Además, según Enrique, el objetivo de este ataque ha sido económico, debido a que “este grupo se mueve exclusivamente por intereses económicos, con lo cual, el rescate que le han pedido al ayuntamiento ha sido de cantidades importantes”.
Por otro lado, Raquel Puebla e Itxaso Reboleiro, analistas de ciberinteligencia en nuestra compañía, han ofrecido una entrevista para Newtral en la que han hablado sobre este tema y en la que ambas coinciden en que no todos los ciberataques de ransomware, como el que ha sufrido el ayuntamiento de Sevilla, conllevan recopilación y filtración de datos, aunque sí es lo más habitual. “Todo esto se produce mediante claves de cifrado que, en caso de conocerse, permiten descifrar la información, por lo que sí es posible que solamente hayan cifrado la información sin llegar a obtenerla y que el objeto de la extorsión sea su mera indisponibilidad, aunque no garantiza que el actor de amenazas la vaya a aportar en la práctica.”
Desde Entelgy Innotec Security estamos comprometidos en la protección de personas y organizaciones contra los riesgos en línea. La ciberseguridad es fundamental en la era digital actual, ya que los ciberataques y las amenazas cibernéticas son constantes. Por eso, nuestra misión es ayudar a crear un entorno digital más seguro mediante la implementación de medidas de seguridad efectivas y la promoción de las mejores prácticas en ciberseguridad es esencial.
¿Queréis escuchar la entrevista de Enrique Domínguez, nuestro Director de Estrategia, al completo? ¡No os la perdáis!