“La desarticulación de LockBit tendrá efectos importantes que veremos en los próximos meses”, David Sancho (Trend Micro)

Hablando de la operación que ha dado al traste con las operaciones de LockBit, ¿por qué es tan importante?

En los últimos años nos estamos enfrentando a cuatro grandes grupos que controlan el segmento del ransomware, organizaciones muy preparadas y profesionales responsables que llevan a cabo operaciones de gran escala, y luego hay una gran cantidad de grupos más pequeños. Pero, realmente, esas tres o cuatro organizaciones que comentábamos son los que concentran la mayor parte del dinero. LockBit ha estado de manera consistente en este grupo desde 2020, con lo que podríamos asumir que suponen el 25% del llamémosle mercado del ransomware. Por tanto, la supresión de este grupo tiene un efecto muy importante, y los efectos serán evidentes a lo largo del año.

 

Esto podría llevarnos a pensar que veremos una reducción del ransomware de un 25% o, por el contrario, con la desaparición de un grupo como este otro toma el testigo?

Cualquiera de las dos opciones son perfectamente factibles. Es difícil saber qué va a pasar exactamente, pero, como hemos visto en otros casos, hay una reducción inicial y luego vuelve a incrementarse repartiéndose ese trozo del pastel entre el resto de jugadores. Puede ocurrir también que, al desaparecer esta organización, otra similar tome su lugar, pero eso puede llevar unos meses.

 

¿Cuál ha sido la participación de Trend Micro en esta operación?

Las organizaciones policiales tienen un papel fundamental en estas operaciones, porque tienen el rol y la capacidad esencial para perseguir a las personas, los pagos… Realizan una gran labor de investigación, pero necesitan ayuda con los aspectos más técnicos y ahí la colaboración público-privada es fundamental, porque necesitan, además de la capacidad técnica, los recursos que demanda una acción como esta. En este caso, ellos tenían acceso a la última versión del malware, porque desde su nacimiento en 2020, LockBit había liberado tres versiones, la última de hace un año, por lo que era de esperar que estuvieran a punto de lanzar una nueva versión. Con el acceso a esta herramienta, hemos podido desgranar todo lo que hace y hemos preparado una solución para todas las posibles víctimas, si las hubiera, de la última versión. Por otra parte, hemos analizado con detalle esa versión para tratar de entender qué preparaban para los siguientes ataques.

 

Una vez finalizada esta operación, ¿cómo es su colaboración con las fuerzas de seguridad?

La relación funciona de forma bidireccional, pero, normalmente, son ellos los que demandan nuestra ayuda, porque nosotros podemos hacer una investigación, pero, si ellos no tienen víctimas o denuncias detectadas, no pueden crear un nuevo caso. Una vez que existe, demandan de nosotros el apoyo técnico. Hay veces que es ayuda con cuestiones técnicas o con aspectos más relacionados con el tráfico de las redes.

 

Pensando en estas víctimas, ¿qué consejos pueden darle para evitar serlo o, al menos, minimizar en lo posible los efectos negativos de un ataque?

Tradicionalmente, los consejos se han centrado en formar a los usuarios, pero, cada vez, esto está siendo menos útil, porque los grupos de ransomware apuntan ahora a objetivos más concretos. No hablamos de una campaña de mensajes generalizada. Ahora, cuentan con una red de afiliados que cobran una comisión por cada rescate obtenido. Se trata de hackers que se cuelan en redes que saben que les van a proporcionar más dinero. Los ataques son cada día más dirigidos y no siempre llegan a través del email. Por eso, lo fundamental es tener copias de seguridad de los datos para poder volver a una versión anterior y no comprometida de los datos. En segundo lugar, disponer de sistemas que asuman que vas a ser atacado en algún momento, por lo que hay que tener planes de contingencia para volver a estar operativos cuanto antes y, como parte de esto, contar con herramientas que analicen la red corporativa para detectar anomalías que, por separado pueden no parecer nada, pero que en conjunto pueden evidenciar que se trata de un ataque. Cuando detectas esos intentos de intrusión, puedes poner freno al ataque antes de que introduzcan el ransomware.

 

Para finalizar, quisiéramos saber si existe alguna estimación de qué porcentaje de estos ataques tienen éxito al final…

Es muy difícil conocer este tipo de datos, porque lo que realmente conocemos son las víctimas que han pagado. Esto se sabe porque, cuando te afectan, acabas haciendo un pago en un cripto wallet. Podemos saber cuántas víctimas han pagado a un wallet concreto, pero no podemos saber cuántos ataques se intentaron o cuántos se quedaron por el camino porque fueron detectados y detenidos.