De 'destripar' ayuntamientos a bufetes vip: estos son los 'hackers' más temidos de la red
Tras el ataque al bufete CMS Albiñana estaba, una vez más, LockBit. Se trata de un grupo clave en el cibercrimen, responsable de la mitad de los ataques de 'ransomware' en todo el mundo. Esto es lo que se sabe de ellos
:format(jpg)/f.elconfidencial.com%2Foriginal%2F9f8%2Fde9%2F5f9%2F9f8de95f95fe69a54c32fd896ae6250a.jpg)
CMS Albiñana y Suárez de Lezo, uno de los mayores bufetes de abogados del Ibex 35, ha sido la penúltima víctima de LockBit. Solo este año, la lista de objetivos atacados por este grupo de ransomware en España ha abarcado casos tan dispares como el de Telepizza o el Ayuntamiento de Sevilla. En todos ellos, la operativa ha sido la misma. Primero acceden a información confidencial, luego bloquean su acceso y, por último, un rescate para recuperarla. Si no se accede al chantaje, esos datos acaban publicados en la dark web. El modelo está perfectamente engrasado: esta organización está detrás de casi la mitad de estos ataques en todo el mundo.
"Se publicarán más de 500 GB con información relacionada principalmente con delitos financieros y corporativos de clientes, así como datos personales de empleados (abogados), informes financieros, informes legales, documentación técnica y documentación de uso oficial", decía LockBit tras el ataque a CMS Albiñana, que tiene clientes como Iberdrola, Santander, Ferrovial, Sabadell, Amazon o IBM, así como fondos de primer nivel, como Macquarie, Daiwa, Aberdeen o Pictect.
Teniendo en cuenta que un megabyte puede albergar hasta 500 páginas de texto y 50 gigabytes hasta decenas de horas de vídeo, podrían haberse hecho con millones de datos de sus clientes. Sea como sea, su caso no solo no es el único que se ha dado en España, sino que ni siquiera es el primero que se produce en su sector. Semanas antes, ya habían atacado a Sagardoy y Allen & Overy, otros de los grandes bufetes españoles. Sus casos se suman a los de instituciones públicas, como el Ayuntamiento de Sevilla, y empresas, caso de Food Delivery Brands, el grupo tras marcas como Telepizza o Pizza Hut, al que sustrajeron 14 GB de información.
Si piensas que la han tomado con España, nada más lejos de la realidad. Según la firma de ciberseguridad SOC Radar, LockBit ha estado detrás del 45% de los ataques de ransomware en la primera mitad de 2023. "LockBit se mantiene en el trono como grupo de ransomware más activo desde la segunda mitad de 2022", destaca el informe. "En promedio, se necesita casi un año para identificar y contener el ransomware. Los ataques no solo son costosos desde el punto de vista financiero, sino que también consumen mucho tiempo, causando mayores gastos financieros e interrumpiendo las operaciones".
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ff68%2F5bc%2F9ff%2Ff685bc9ff24f71b89ac3eba80bd228d1.jpg)
Entre sus últimas víctimas, está el mayor banco del mundo, el Banco Industrial y Comercial de China (ICBC), que el pasado noviembre vio afectadas sus operaciones en EEUU tras una ofensiva de LockBit. Antes, ya había dejado un reguero en el que se cuentan la firma de semiconductores TSMC, la consultora Accenture o la aerolínea Boeing, además de distintas instituciones estadounidenses.
Aquí cabe recordar que, hasta hace algo menos de una década, los ataques de ransomware se dirigían más bien hacia personas, pero pronto se dieron cuenta de que el verdadero negocio estaba en extorsionar a grandes empresas, que podían pagar rescates mucho mayores. Según datos de IBM, el rescate medio ha aumentado un 13% solo entre 2021 y 2022, pasando de 4,54 a 5,13 millones de dólares.
National Hazard Agency, a sub-clique of Lockbit ransomware group, has ransomed TSMC (Taiwan Semiconductor Manufacturing Company).
— vx-underground (@vxunderground) June 30, 2023
The company has an estimated annual revenue of $57,220,000,000.
National Hazard Agency is ransoming them for $70,000,000. pic.twitter.com/bXjzQ7SSXU
Sin ir más lejos, LockBit comenzó sus operaciones en 2019, aunque se sospecha que su historia viene de atrás. "Los grupos de este tipo nacen, mueren, se unifican... Cuando empezamos a saber qué era el ransomware, la gente que ahora está en LockBit ya estaba trabajando en malware. Pueden llevar unos 15 años en esto", explica José Miguel Gómez-Casero, analista de malware y especialista en actores de ciberamenazas. "Son los primeros, y no por un empate técnico. La diferencia es muy gruesa", enfatiza sobre el papel de esta organización. "Tenemos información casi únicamente por el daño que hacen, así que no podemos saber qué objetivos tienen ahora, aunque parece que el sector público les funciona muy bien, porque lo atacan en todo el mundo", continúa.
LockBit, además, está dedicándose a la amenaza de moda en tecnología, aunque incluso se podría sostener que son quienes la han propulsado. Si hace un año el ransomware suponía un 10% de todos los ciberataques, esa cifra se ha disparado hasta el 24% este año. Si se atiende únicamente al crimen organizado, su presencia se dispara hasta el 62% del total. De hecho, hasta tienen sus propias políticas, como no aceptar ofertas de rescate inferiores al 3% de la facturación de la organización víctima.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F9c3%2Fcd6%2F8d2%2F9c3cd68d284ac8dd3b6988a870933fb5.jpg)
Eso sí, todo apunta a que LockBit sigue una operativa similar a la de cualquier empresa convencional, tal y como se ha revelado que hacen otros grupos similares, como Conti. "Hacen hasta entrevistas de trabajo y todo", comenta este especialista, que matiza que no hay algo especialmente innovador en sus ataques: "Son fuertes porque tienen músculo y capacidades de todo tipo. Es la gran empresa del ransomware, porque han visto que es da mucho dinero, así que tienen jefes, departamentos... Son estructuras propias de empresas". Sobre este punto, enfatiza que "sus ataques ocurren sin discreción y en muchos sitios a la vez, eso no lo consiguen cuatro personas". "Me atrevería a decir que hasta tienen su propio edificio", apostilla.
Además, fueron uno de los primeros grupos en apostar fuerte por lo que se conoce como doble extorsión. Aquí cabe recordar que, en un primer momento, el ransomware consistía únicamente en secuestrar los datos de una víctima, pero dejó de ser tan rentable cuando se empezaron a normalizar las copias de seguridad de sus víctimas. Fue ahí se produjo esta doble extorsión, que pasa publicar la información filtrada, incluso en sitios con acceso relativamente sencillo. Ahora hay hasta quien da otra vuelta de tuerca y chantajea también a las personas cuyos datos han robado.
También se ha especulado mucho sobre el origen o vinculaciones con países de LockBit, donde Rusia suele ser sospechosa habitual. De hecho, dos ciudadanos rusos han sido detenidos en EEUU por su participación en campañas de LockBit, aunque parece difícil que tendrán alguna vinculación con el Kremlin. "Los actores que están patrocinados por el Gobierno ruso, como APT29, tienen una forma de comportarse más reservista, pero esta gente busca simplemente dinero, no hacer un daño brutal", indica. De hecho, cuando comenzó la guerra de Ucrania, algunas de las organizaciones de ransomware más importantes se inclinaron por alguno de los bandos. LockBit no lo hizo.
CMS Albiñana y Suárez de Lezo, uno de los mayores bufetes de abogados del Ibex 35, ha sido la penúltima víctima de LockBit. Solo este año, la lista de objetivos atacados por este grupo de ransomware en España ha abarcado casos tan dispares como el de Telepizza o el Ayuntamiento de Sevilla. En todos ellos, la operativa ha sido la misma. Primero acceden a información confidencial, luego bloquean su acceso y, por último, un rescate para recuperarla. Si no se accede al chantaje, esos datos acaban publicados en la dark web. El modelo está perfectamente engrasado: esta organización está detrás de casi la mitad de estos ataques en todo el mundo.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F84a%2Ffc7%2F0d7%2F84afc70d7a17bb9a874fb2b328d0bd5a.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F9ed%2F672%2Fa14%2F9ed672a14a52febbd9f1de2025de6e90.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F073%2F623%2F164%2F0736231646ea1ed937731bc2f35b58ed.jpg)