LockBit, quiénes son y cómo actúan los responsables del ciberataque al Ayuntamiento de Sevilla

Las autoridades ya ha logrado identificar quién está detrás del ataque informático que sufrió este martes el Ayuntamiento de Sevilla y que le ha obligado a bloquear todos los servicios telemáticos. Se trata del grupo de origen holandés LockBit, según ha confirmado el gobierno local. Se trata de uno de los colectivos de ransomware más prolíficos de la historia y que da nombre a un software malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir el pago de un rescate para restablecerlo. Esto es lo que ha ocurrido con el sistema informativo del Ayuntamiento de Sevilla. La banda LockBit le ha pedido al Consistorio hispalense hasta cinco millones de euros como rescate.

Según explican expertos, LockBit busca automáticamente objetivos valiosos, propaga la infección y cifra todos los sistemas informáticos accesibles en una red. Este ransomware se utiliza para lanzar ataques selectivos contra empresas y otras organizaciones. Como es un ciberataque autopilotado, los atacantes de LockBit se caracterizan por amenazar a organizaciones de todo el mundo.

Aunque a diario se producen todo tipo de ataques informáticos a instituciones, uno de los más comunes es el uso de ransomware. Según IEBS School, en este tipo de ataques se produce un secuestro de datos por parte de los cibercriminales, pudiendo bloquear el acceso a los archivos de forma remota e impidiendo que el usuario acceda a ellos. Normalmente, para desbloquear esta situación los secuestradores piden un rescate monetario a cambio (de ahí la presencia de la palabra ransom en su nombre, que se traduce a rescate en castellano).

Algunos de los programas de ransomware más conocidos son Ryuk, con el que se atacó el Servicio Público de Empleo Estatal (SEPE) en 2021, o Zeppelin, con el que ayuntamientos de localidades como Fuenlabrada u Oviedo han sufrido ataques estos últimos años.

El Instituto Nacional de Ciberseguridad de España, en su último balance anual, señala que en 2022 se registraron 450 incidentes a través de programas de ransomware.

Expertos apunta que la banda LockBit no es de las más siniestras de este tipo de grupos criminales, pero el volumen de ataques, su persistencia, eficacia y profesionalismo la hacen funesta.

A principios de este año, el malware LockBit, otro tipo de software malicioso diseñado para infiltrarse en un dispositivo y causar daños e interrupciones en el sistema o robar datos, se utilizó contra la compañía de servicio postal del Reino Unido, Royal Mail, paralizando sus operaciones. El caos fue tal que, durante más de una semana, la empresa pidió a sus clientes que no enviaran nuevos paquetes internacionales, lo que aumentó la desorganización después de que los trabajadores se declararan en huelga por los salarios y las condiciones laborales.

LockBit también estuvo detrás de un ataque informático a un hospital infantil canadiense en diciembre de 2022, y dos meses antes exigió un pago inusualmente alto, de 60 millones de dólares, a una cadena de concesionarios de automóviles del Reino Unido.

LockBit surgió a finales de 2019, primero haciéndose llamar ABCD ransomware. Desde entonces, ha crecido rápidamente. El grupo opera siendo un ransomware como un servicio, lo que significa que un equipo central crea su malware y otorga licencias de su código a afiliados que lanzan ataques.

Normalmente, cuando los grupos de ransomware como un servicio asaltan con éxito una empresa y reciben un pago (rescate) comparten una parte de los beneficios con los afiliados. En el caso de LockBit, expertos indican que el modelo de afiliación se ha invertido, pues ahora los miembros cobran directamente a sus víctimas y luego pagan una comisión al equipo central de LockBit.