Si hay una organización que ejemplifica la profesionalización de la ciberdelincuencia en los últimos años, esa es LockBit. Esta multinacional de los ataques informáticos mantiene secuestrados los sistemas del Ayuntamiento de Sevilla desde el martes, según ha informado el consistorio, que ha tenido que apagar sus 4.000 ordenadores. Todo ha vuelto al papel y boli. “Lo más preocupante es el tema de la Policía Local y los bomberos”, reconocía este miércoles en Hora25 el alcalde de la ciudad hispalense, José Luis Sanz (PP).
Aunque se suela denominar a LockBit como un “grupo” de ciberdelincuentes, ese concepto se queda corto. No atacan durante un corto pero intenso período de tiempo para luego esconderse, como hacen muchas de las bandas que operan en la red. Al contrario, su estructura se parece a la de una empresa consolidada. Cuenta con diferentes departamentos, franquiciados que operan en todo el mundo y programas de captación de talento para reclutar jóvenes hackers.
El cuartel general de la organización se encuentra en los Países Bajos, si se confía en lo que afirman en sus comunicados. Desde allí se coordina a sus especialistas en desarrollo, que se dedican a perfeccionar sus programas de ataque e infección; y se reciben los informes de su equipo de inteligencia, que analiza a sus potenciales objetivos en busca de sus puntos débiles, estudia cuánto podrían pagar e incluso soborna o extorsiona a sus empleados para que les abran las puertas. También cuentan con una sección de expertos en infectar a las víctimas e incluso un departamento de “atención al infectado”, que negocia con ellos las condiciones del pago.
Su negocio son los ataques de ransomware, que secuestran los archivos informáticos de la víctima para exigir un rescate a cambio de recuperarlos. En la gran mayoría de ocasiones también se producen robos de información. La clave del éxito de LockBit no es otra que ser muy buenos en lo que hacen. Quizá los mejores. “Es uno de los ransomware más efectivos”, explica en conversación con este medio un instructor de la escuela de ciberseguridad Ironhack: “Se calcula que el 28% de todos los ataques de este tipo están directamente relacionados con LockBit”.
La organización se autodenomina LockBit 3.0 debido a que su ransomware va ya por su tercera versión, que mantienen constantemente actualizada. Otra muestra de su profesionalización es que al lanzamiento de esta última arma le acompañó la activación de un sistema de recompensas para cualquiera que les avisara de errores en el código. Esta práctica se conoce como bug bounty y es común en las grandes tecnológicas como método para perfeccionar sus productos.
Su propio sistema de franquiciados
El modelo de negocio de LockBit incluye un programa de afiliados. “Se le llama Ransomware como Servicio (RaaS, por sus siglas en inglés). Tú llegas y les dices 'quiero atacar a esta empresa'. Ellos estudian la viabilidad del caso y deciden si puede llegar a ser un objetivo interesante. Si es así ponen un precio para el ataque y cobran un porcentaje en caso de que la víctima pague”, detalla el mismo experto, que pide no ser identificado por su colaboración con organizaciones internacionales: “son muy vengativos”.
El informe sobre LockBit de la firma de ciberseguridad japonesa Trend Micro destaca que la gestión de estos franquiciados es uno de los puntos fuertes de la organización. “Un factor que ha contribuido a su éxito es lo bien que recluta a afiliados fiables y capaces. La evidencia también sugiere que varios de sus afiliados están involucrados en múltiples operaciones RaaS, lo que les ayuda a innovar y mantenerse al día con su competencia. A cambio, LockBit se enorgullece de su funcionamiento profesional en el que pueden confiar los afiliados”.
Un factor que ha contribuido al éxito de LockBit es lo bien que recluta a afiliados fiables y capaces
El programa de afiliados reporta enormes beneficios a la organización, ya que le permite aprovechar sus armas con mucho menos esfuerzo. El problema es que implica que los riesgos para su seguridad se multipliquen, al aumentar las personas conectadas con su estructura central. Pero LockBit también ha puesto remedio para eso. Cualquiera que encuentre información crítica sobre ellos y les diga cómo lo ha hecho se verá recompensado.
“La banda insta a los investigadores de seguridad a enviar informes de vulnerabilidades para mejorar sus operaciones a cambio de una remuneración. La recompensa del grupo por la contribución de los investigadores de seguridad oscila entre 1.000 dólares y un millón”, desglosa el informe de Trend Micro: “Ha ofrecido un millón de dólares a quien pueda proporcionar la identidad de sus miembros. La cuantiosa recompensa incentiva a los hackers a descubrir sus vulnerabilidades, algo que la banda considera un aviso de que sus operaciones están en peligro”.
Las dudas sobre el ataque al Ayuntamiento de Sevilla
Pese a su avanzado programa de colaboradores, el instructor de Ironhack apunta a que lo más probable es que el ataque contra el Ayuntamiento de Sevilla provenga de su estructura central. “A ellos les gusta atribuirse los ataques de renombre”, recalca. Por el momento, LockBit no ha reivindicado la acción en su portal de la web oscura.
El consistorio ha informado de que ha recibido varias peticiones de rescate. Una inicial de cinco millones de dólares y una segunda de un millón. En todos sus comunicados, tanto los delegados municipales como el alcalde han aseverado que Sevilla no va a pagar a LockBit ni a aceptar “chantajes de delincuentes”.
A su vez, asegura que el impacto del ciberataque ha sido muy reducido y que no se ha detectado el robo de datos personales ni otro tipo de información. Según ha explicado este jueves un delegado municipal, hasta el momento solo se han detectado tres equipos afectados. “Han capturado las claves del usuario y así han podido entrar en la red del Ayuntamiento. Han accedido a los sistemas que tenía autorizado el mismo usuario, con la suerte de que estos solo eran los servidores más antiguos”, ha informado en rueda de prensa.
El Ayuntamiento declara que en esos servidores antiguos no había información relevante, sino solo aplicaciones informáticas. Pese a todo, sus sistemas permanecen parados para avanzar con la “máxima seguridad” en su reinicio, ha declarado el alcalde. “No tenemos prisa por recuperar el servicio”.
Sin embargo, esta versión no convence a los especialistas en ciberseguridad consultados por elDiario.es. “No tiene sentido ese relato”, explica uno de ellos, que también pide que no se le identifique por su cargo en una firma internacional.
Las dudas surgen al comparar lo que dice el Ayuntamiento (que no ha habido robo de datos y solo hay tres ordenadores y “servidores antiguos” afectados) con lo que está haciendo su equipo de ciberseguridad. Esa mínima afectación no cuadra con el hecho de que sus 4.000 ordenadores lleven tres días paralizados y todavía no haya fecha para una vuelta a la actividad. Según el mismo delegado municipal, este viernes se pondrán a trabajar en un “plan de recuperación que se llevará a cabo de forma paulatina”, “sin prisas”.
Si tienes claro que no te ha afectado levantas todo y ya está. Si no lo tienes claro, haces esto
“Suena como si hubiesen montado una red alternativa y estuviesen arrancando ordenador por ordenador a ver si se activa algo o si ataca al resto de la red”, explica el mismo experto. Avanza que ese es el protocolo que adoptaría una organización que no sabe qué nivel de afectación ha tenido su sistema informático, no una que ha conseguido parar un ramsonware tan avanzado como el de LockBit cuando solo ha contagiado tres ordenadores. “Si tienes claro que no te ha afectado, levantas todo y ya está. Si no lo tienes claro, haces esto”, expone.
Es algo similar a lo que ocurre con la aseveración por parte del consistorio de que no ha habido robo de información, algo que ocurre en la mayoría de ataques de secuestro de archivos y especialmente, en los de LockBit. “Al contrario de lo que dice el comunicado oficial, los atacantes han tenido acceso a la información, de otra forma no sería posible que dicha información hubiera sido cifrada”, destaca Luis Corrons, experto de la firma de ciberseguridad de Avast.
“Este tipo de ataques lleva un trabajo por detrás, y de hecho una de las últimas tendencias es que los ciberdelincuentes se lleven una copia de la información antes de proceder a su cifrado”, abunda este mismo especialista.