LockBit es un tipo de malware de ransomware que se utiliza para cifrar los archivos de una víctima y luego exigir un rescate para desbloquearlos. El grupo de ciberdelincuentes detrás de LockBit es conocido por dirigirse principalmente a empresas y organizaciones, y ha estado activo desde 2019.
Una vez que LockBit infecta un sistema, cifra los archivos y agrega una extensión «.lockbit» a cada archivo comprometido. Luego, muestra una nota de rescate en la que se exige un pago en criptomonedas a cambio de la clave de descifrado.
Los hackers piden un rescate por la recuperación de los servicios y sistemas del Ayuntamiento, han reclamado el pago de un rescate de hasta cinco millones de euros, si bien posteriormente lo han rebajado a 1,5 y, finalmente a uno. Es importante destacar que pagar el rescate no garantiza que se recupere el acceso a los archivos, y además se alienta a las víctimas a no hacerlo, ya que esto solo fomenta la actividad delictiva. En cambio, es recomendable buscar la asistencia de expertos en ciberseguridad para evaluar las opciones de recuperación de archivos y tomar medidas para prevenir futuros ataques.
Tanto los responsables técnicos del Ayuntamiento como personal externo especializado están trabajando de manera continua para determinar le origen y alcance del ataque y poder recuperar la normalidad. Este ciberataque se suma a la larga lista de vulnerabilidades informáticas a las que se están enfrentando cada vez más empresas e instituciones españolas.
Luis Corrons, Security Evangelist de Avast, ha declarado que «todo parece indicar que el ciberataque que ha sufrido el Ayuntamiento de Sevilla se trata de un ataque con ransomware similar al sufrido por decenas de administraciones, empresas e instituciones en España. Al contrario de lo que dice el comunicado oficial, los atacantes han tenido acceso a la información, de otra forma no sería posible que dicha información hubiera sido cifrada. Este tipo de ataques lleva un trabajo por detrás, y de hecho una de las últimas tendencias es que los ciberdelincuentes se lleven una copia de la información antes de proceder a su cifrado.
Para volver a ser operativo el Ayuntamiento necesita, por un lado, analizar el origen del ataque para cerrar las puertas y evitar que pueda volver a suceder. Además, deberá restaurar la información desde las copias de seguridad que tenga a su disposición. Hasta que no se lleven a cabo todos estos pasos, todos los ordenadores que estén conectados a la red estarán en peligro.
Para evitar este tipo de situaciones, se pueden tomar medidas que reduzcan el riesgo: contar con un software actualizado, tener protegidos los ordenadores con un software de seguridad y educar a los empleados para que sean capaces de reconocer ataques de este tipo. Una vez sufrido el ataque, habrá que buscar pistas que permitan a la organización detectar dónde se ha producido la brecha de seguridad lo antes posible. Para ello, se deberán supervisar todos los ordenadores y buscar patrones extraños en el tráfico de la red que puedan dar indicios de que algo anómalo está pasando.»
🔴 AVISO IMPORTANTE 📣 El Ayuntamiento se ha visto afectado por un ataque informático. Los servicios se han interrumpido como medida de precaución hasta conocer el alcance concreto del ciberataque.
Estamos trabajando para poder restablecer la normalidad lo antes posible. pic.twitter.com/eOogsOctib
— Ayuntamiento de Sevilla (@Ayto_Sevilla) September 5, 2023
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
