En el mundo digital de hoy, la seguridad informática es más crucial que nunca. Uno de los mayores peligros que enfrentan tanto individuos como organizaciones es el Ransomware Lockbit. Este malware no solo es capaz de cifrar tus archivos, sino que también puede paralizar sistemas enteros, como ocurrió en el caso del Ayuntamiento de Sevilla. Pero, ¿qué es exactamente el Ransomware Lockbit y cómo podemos protegernos?
¿Qué es el Ransomware Lockbit?
Emergiendo en el horizonte de las amenazas cibernéticas, LockBit no es simplemente otro ransomware; es una evolución de lo que antes se conocía como el «virus ABCD». Este malware especializado en extorsión ha ganado notoriedad por su enfoque en organizaciones empresariales y gubernamentales, dejando en general a los individuos fuera de su radar.
Desde su aparición en septiembre de 2019, LockBit ha dejado su huella en una variedad de países, incluidos Estados Unidos, China, India, Indonesia y Ucrania, así como en varias naciones europeas como Francia, Reino Unido y Alemania. ¿Por qué estos objetivos? Simple: son organizaciones que no solo se verían gravemente afectadas por una interrupción de sus operaciones, sino que también tendrían los recursos para pagar un rescate considerable.
Curiosamente, LockBit parece tener una especie de «código de honor», evitando atacar sistemas en Rusia o en cualquier país de la Comunidad de Estados Independientes. La razón detrás de esto podría ser el deseo de evitar consecuencias legales en esas regiones.
Pero lo que realmente distingue a LockBit es su modelo de actuación. Opera bajo un esquema de Ransomware como Servicio (RaaS), donde los ciberdelincuentes interesados pueden «alquilar» el ransomware para lanzar sus propios ataques. En este modelo de afiliación, los ingresos del rescate se reparten entre el grupo que desarrolló LockBit y los ciberdelincuentes que llevaron a cabo el ataque, con estos últimos llevándose hasta las tres cuartas partes del botín.
¿Cómo Funciona?
LockBit es una amenaza cibernética que ha evolucionado para ser más efectiva y dañina. Muchos expertos lo vinculan con las familias de malware «LockerGoga & MegaCortex», debido a sus características similares. Pero lo que realmente lo distingue es su capacidad para autopropagarse, lo que lo convierte en un enemigo formidable para cualquier organización.
Este ransomware tiene un modus operandi muy específico. Una vez que un atacante logra infiltrar un solo sistema, LockBit se encarga del resto. Utiliza herramientas nativas de sistemas Windows, como Windows Powershell y Server Message Block (SMB), para propagarse rápidamente. Además, se camufla como un archivo de imagen PNG para eludir las medidas de seguridad.
El ataque de LockBit se puede dividir en tres etapas clave:
- Explorar: En la primera etapa, el ransomware explora las debilidades de la red, a menudo utilizando tácticas de ingeniería social como el phishing.
- Infiltrarse: En la segunda etapa, LockBit se infiltra más profundamente en la red, desactivando programas de seguridad y preparando el terreno para el ataque.
- Cifrado: Finalmente, en la tercera etapa, LockBit implementa su carga de cifrado, bloqueando todos los archivos del sistema.
¿Qué tipos de amenazas tiene LockBit?
Con el auge del teletrabajo, este malware tiene más oportunidades que nunca para infiltrarse en sistemas y redes. Pero, ¿qué es lo que realmente lo hace tan peligroso? Bueno, se trata de sus variantes y las constantes actualizaciones que recibe.
- La primera versión de LockBit se hizo conocida por cambiar la extensión de los archivos a «.abcd» y dejar una nota de rescate titulada «Restore-My-Files.txt» en cada carpeta afectada. Pero no se detuvo ahí.
- Una segunda versión apareció con la extensión «.LockBit«, manteniendo el resto de las características prácticamente iguales.
- La tercera versión trajo un cambio significativo: eliminó la necesidad de usar el navegador Tor para acceder a las instrucciones de rescate, facilitando el proceso para las víctimas, pero también para los atacantes.
Pero eso no es todo. LockBit ha incorporado nuevas funciones que lo hacen aún más peligroso. Ahora puede desactivar los avisos de seguridad y anular los puntos de control administrativos, lo que le da un acceso más fácil a los sistemas. Además, ha añadido una nueva táctica de intimidación: el robo de datos. Si no se paga el rescate, LockBit amenaza con publicar la información privada de la víctima.
Cómo combatir el Ransomware Lockbit
Si te encuentras en la desafortunada situación de que tu empresa ha sido víctima de LockBit, debes saber que simplemente eliminar el ransomware no será suficiente para recuperar tus archivos. Estos quedan cifrados y necesitarás una ‘clave’ específica para descifrarlos.
Una solución podría ser el uso de un software especializado en restauración de sistemas. Otra opción viable sería recurrir a imágenes de copia de seguridad que hayas realizado antes del ataque para reinstalar todo tu sistema.
Aprende a protegerte contra el Ransomware Lockbit
Para blindar tu organización contra la amenaza que supone el ransomware LockBit, es crucial adoptar una serie de medidas preventivas. Aquí te ofrecemos algunas estrategias clave:
- Fortalece tus contraseñas: No subestimes el poder de una contraseña robusta. Evita las obvias y fáciles de descifrar. Opta por combinaciones alfanuméricas complejas y considera la creación de frases de contraseña personalizadas.
- Habilita la verificación en dos pasos: Añade un nivel extra de seguridad a tus cuentas con la autenticación de múltiples factores. Esto podría incluir desde la verificación biométrica hasta el uso de llaves de seguridad USB.
- Revisa los niveles de acceso: Minimiza los riesgos limitando los permisos de usuario. Es vital revisar especialmente las cuentas con privilegios de administrador y asegurarse de que solo las personas necesarias tengan acceso a información sensible.
- Elimina cuentas inactivas: No dejes puertas abiertas a posibles ataques. Desactiva y elimina cuentas de usuario que ya no se utilicen, especialmente si pertenecen a empleados que ya no forman parte de la organización.
- Audita las configuraciones de seguridad: Tómate el tiempo para revisar y actualizar las configuraciones de seguridad de tu sistema. Mantén tus protocolos al día para adaptarte a las nuevas formas de ciberataques.
- Mantén copias de seguridad actualizadas: La última línea de defensa en caso de un ataque es tener una copia de seguridad fiable. Asegúrate de que estas copias estén actualizadas y almacenadas en un lugar seguro. En caso de contaminación de una de las copias, es recomendable tener múltiples versiones para poder restaurar el sistema a un punto seguro.
El caso de Sevilla
Para entender la magnitud del problema, basta con mirar lo que ha ocurrido recientemente en la ciudad de Sevilla. Según el Diario de Sevilla, el Ayuntamiento de la ciudad ha sufrido un ciberataque que ha paralizado sus sistemas informáticos durante días.
Aunque no se ha confirmado que el ataque fuera obra de Lockbit, el modus operandi fue muy similar al de este ransomware. El ataque ha puesto de manifiesto la vulnerabilidad de las instituciones públicas y la necesidad de tomar medidas de seguridad más estrictas.
Conclusiones
El Ransomware Lockbit es una amenaza creciente que puede tener consecuencias devastadoras tanto para individuos como para organizaciones. La clave para combatir este tipo de ataques es la prevención y la educación. Mantenerse informado y tomar las medidas de seguridad adecuadas puede marcar la diferencia entre mantenerse seguro o enfrentar pérdidas significativas. Como hemos visto en el caso de Sevilla, nadie está completamente a salvo, pero con las precauciones adecuadas, podemos minimizar los riesgos.
