El Ayuntamiento de Sevilla ha confirmado que ha sido víctima de un ciberataque de ransomware efectuado por uno de “los grupos de hackers más relevantes del mundo”, LockBit, grupo asociado al malware ruso. Los cibercriminales han pedido un rescate por la recuperación de los servicios y sistemas, pero el Ayuntamiento ha declarado que “en ningún caso negociará con ciberdelincuentes”.
Aunque el consistorio no ha facilitado ninguna cifra, las informaciones apuntan que el rescate pedido por los cibercriminales asciende a un millón y medio de euros, que “no será pagado”, asegura la misma fuente. En estos momentos tanto la web como los servicios online del ayuntamiento sevillano están inaccesibles.
El equipo informático de la institución está trabajando a marchas forzadas para tratar de reestablecer el servicio y recuperar los sistemas. Tanto el Centro Criptológico Nacional (CCN-CERT), como la Policía Nacional trabajan mano con mano con el fin de determinar el alcance del hackeo.
Hace un año y medio, el mismo Ayuntamiento fue golpeado por un ataque de ransomware y tuvo que desembolsar un millón de euros para poder seguir operando, según han recordado desde diversos medios informativos.
La web del Ayuntamiento sigue sin ser accesible
Esta mañana del viernes 8 a las 9 horas, permanece inaccesible la web del Ayuntamiento, los expertos señalan que el tiempo de recuperación de un ransomware (todo apunta a este supuesto) suele oscilar entre una hora y tres semanas, dependiendo de varios factores.
“Todo parece indicar que el ciberataque que ha sufrido el Ayuntamiento de Sevilla se trata de un ataque con ransomware similar al sufrido por decenas de administraciones, empresas e instituciones en España. Al contrario de lo que dice el comunicado oficial, los atacantes han tenido acceso a la información, de otra forma no sería posible que dicha información hubiera sido cifrada. Este tipo de ataques lleva un trabajo por detrás, y de hecho una de las últimas tendencias es que los ciberdelincuentes se lleven una copia de la información antes de proceder a su cifrado”, explica Luis Corrons, Security Evangelist de Avast
Para volver a ser operativo el Ayuntamiento necesita, por un lado, analizar el origen del ataque para cerrar las puertas y evitar que pueda volver a suceder. Además, deberá restaurar la información desde las copias de seguridad que tenga a su disposición. Hasta que no se lleven a cabo todos estos pasos, todos los ordenadores que estén conectados a la red estarán en peligro.
“Para evitar este tipo de situaciones, se pueden tomar medidas que reduzcan el riesgo: contar con un software actualizado, tener protegidos los ordenadores con un software de seguridad y educar a los empleados para que sean capaces de reconocer ataques de este tipo. Una vez sufrido el ataque, habrá que buscar pistas que permitan a la organización detectar dónde se ha producido la brecha de seguridad lo antes posible. Para ello, se deberán supervisar todos los ordenadores y buscar patrones extraños en el tráfico de la red que puedan dar indicios de que algo anómalo está pasando”, concluye Corrons.