¿Qué es el ransomware como servicio?

El malware como servicio (RaaS) es un modelo de distribución específico para un tipo determinado de malware, y supone una amenaza significativa para la ciberseguridad.

Este modelo de afiliación ofrece a los potenciales ciberdelincuentes la oportunidad de iniciar ataques sin los conocimientos técnicos y de programación necesarios, lo que aumenta la prevalencia de los ataques de ransomware.

Dado el gran daño que puede causar el ransomware, es muy importante para las empresas entender las implicaciones del RaaS para la ciberseguridad y por qué es tan crucial proteger a los sistemas de estos ataques.

Entender al ransomware como servicio

El ransomware como servicio (RaaS) es un modelo de negocios que se especializa en un tipo de malware determinado (el ransomware) y opera en la web oscura.

En pocas palabras, se trata de la evolución maliciosa del modelo tradicional y legal del software como servicio (SaaS), utilizado por muchas empresas reconocidas, como Microsoft, Adobe, Shopify, Zoomy Dropbox.

En el modelo de negocios del RaaS, los operadores crean el ransomware (y, por lo general, un ecosistema completo a su alrededor) y lo ofrecen a terceros. Los ciberdelincuentes pueden "suscribirse" al ransomware como servicio (RaaS) de manera gratuita.

Una vez que se convierten en partners del programa, estos pagan por el servicio una vez que se realiza el ataque, en la forma de un porcentaje del rescate.

Los ciberatacantes que desean llevar a cabo ataques de ransomware, pero carecen del tiempo y habilidad necesarios para desarrollar su propio malware, pueden simplemente elegir una solución de RaaS en la web oscura.

Pueden acceder al ransomware y todos los componentes necesarios, como paneles de comando y control (C2), builder (programas para la creación rápida de muestra únicas de malware), actualizaciones de interfaz y malware, soporte, instrucciones y servicios de host.

Luego, pueden iniciar el ataque, sin tener que hacer el trabajo de desarrollo. De esta forma, los actores maliciosos pueden ejecutar una cadena de ataques de ransomware sofisticados sin tener ningún tipo de conocimientos o experiencia en el desarrollo de esta clase de malware.

Los operadores que ofrecen ransomware como servicio suelen desarrollar una oferta completa de productos en torno al malware. Esto puede incluir una amplia gama de servicios como foros de la comunidad, manuales para ataques estratégicos y servicio de soporte al cliente.

Esto resulta muy útil para los potenciales atacantes que no tienen experiencia en la ejecución de ciberataques. Entre los servicios de RaaS adicionales pueden encontrarse los siguientes:

Herramientas de personalización para crear ataques altamente selectivos.
Herramientas adicionales, como programas para la exfiltración de datos.
Foros de la comunidad para compartir consejos y tener conversaciones.
Manuales para ataques estratégicos.
Instrucciones para la configuración del panel y el producto.
Manuales sobre ataques que incluyen una descripción de las herramientas, tácticas y técnicas para los atacantes.

Sin importar el tipo de ransomware como servicio que el atacante decide utilizar, el objetivo final siempre es el mismo: poner en riesgo la red de un individuo (u organización) y robar o cifrar datos, para luego hacer que la víctima pague un rescate.

La diferencia entre malware, ransomware y ransomware como servicio

Malware es el término general para cualquier clase de software malicioso que se utiliza para obtener acceso no autorizado a un sistema de TI o dispositivo electrónico.

Esto podría hacerse por varios motivos, como, por ejemplo, el robo de datos y la interrupción de un sistema.

Sin embargo, el ransomware es un malware que se utiliza para infectar el sistema de la víctima y cifrar o destruir sus datos; después, se puede pedir al objetivo que pague un rescate (en inglés, "ransom") para evitar que el atacante divulgue la información o para recibir la clave de descifrado necesaria para restaurar los datos, si estaban cifrados.

¿Cuáles son las consecuencias legales del ransomware como servicio (RaaS)?

Dado que el RaaS hace posible una clase determinada de ciberdelito y que opera en la web oscura, debería ser muy claro que todo el modelo de negocios es ilegal. Cualquier tipo de participación en la industria, ya sea como operados o como afiliado ("suscriptor") es ilegal.

Esto incluye la venta de RaaS, la compra de RaaS con la intención de llevar a cabo ataques de ransomware, el acceso a redes, el cifrado de datos o el pedido de rescates como extorsión.

¿Cómo funciona el ransomware como servicio?

El RaaS funciona en una jerarquía organizacional. En la cima de la escalera se encuentra el operador, que suele ser un grupo que desarrolla el ransomware y lo pone a la venta.

En esencia, el operador actúa como administrador y supervisa todos los aspectos de las operaciones comerciales del RaaS, incluida la administración de la infraestructura y la interfaz del usuario.

Con frecuencia, el operador maneja los pagos de rescates y proporciona la clave de descifrado a las víctimas que pagan. Dentro del grupo operador, pueden existir funciones designadas más pequeñas, como administradores, desarrolladores y equipos de prueba.

Los afiliados del RaaS (los "clientes") pueden acceder al servicio para usar el ransomware del operador en ataques. Estos identifican oportunidades para los ataques y los despliegan.

La función del afiliado es identificar objetivos, ejecutar el ransomware, fija el rescate, administrar la comunicación tras el ataque y enviar las claves de descifrado cuando se paga el rescate.

En las investigaciones de Kaspersky para el Día del antirransomware, 2023, se revelaron los principales vectores iniciales de ataques de ransomware en el 2022.

Según el informe, más del 40 % de las empresas experimentó al menos un ataque de ransomware durante el año pasado, siendo el pago de rescate promedio de USD 6500 para pequeñas y medianas empresas, y de USD 98 000 para grandes empresas.

El estudio ubicó los principales puntos de entrada de los ataques, en los que se incluían el abuso de aplicaciones de uso público (43 %), cuentas de usuario en riesgo (24 %) y correos electrónicos maliciosos (12 %).

Una vez que se descarga el ransomware al sistema, este intenta deshabilitar el software de seguridad de endpoints. Una vez que el atacante obtiene acceso, puede reinstalar herramientas y malware.

Esto le permite moverse a través de la red y desplegar el ransomware.

Una vez que se cifran los archivos, puede enviar un pedido de rescate. En general, esto se realiza a través de un archivo TXT que aparece en el ordenador de la víctima, y que le notifica que el atacante accedió a su sistema y debe pagar un rescate para recibir la clave de descifrado si desea volver a tener el control.

¿Cómo se monetiza el ransomware como servicio?

Los ciberdelincuentes pueden "suscribirse" al ransomware como servicio (RaaS) de manera gratuita. Una vez que se convierten en partners del programa, pagan por el servicio una vez que se lleva a cabo el ataque.

El monto del pago se determina como un porcentaje del rescate pagado por la víctima, que suele ir del 10 % al 40 % de cada transacción. Sin embargo, ingresar al programa no es tarea fácil, ya que deben cumplirse requisitos estrictos.

Ejemplos de ransomware como servicio para conocer

Los ciberdelincuentes se han vuelto adeptos a evolucionar sus servicios de ransomware, para poder cumplir siempre los requisitos de los "clientes" que compran el RaaS.

Existe una gran variedad de programas de ransomware como servicio (RaaS) disponibles en la web oscura, y conocer a algunos de los más importantes puede ser útil para entender cómo y por qué son una amenaza.

Estos son algunos ejemplos de ransomware como servicio que tuvieron una amplia difusión en los últimos años.

LockBit

Este ransomware específico accedió a las redes de muchas organizaciones al abusar los bloques de mensajes del servidor (SMB) y el programa de administración de configuración y automatización PowerShell de Microsoft.

BlackCat

Este ransomware puede personalizarse de manera sencilla a través de la programación con Rust y, por ende, puede desplegarse en numerosas arquitecturas de sistemas.

Hive

Un tipo especialmente vil de RaaS. Hive obliga a las víctimas a pagar el rescate al divulgar al público los datos del acceso al sistema y, con frecuencia, proporcionar un tiempo límite antes de que la información robada se filtre.

Dharma

Los correos electrónicos son el método más habitual para ejecutar ataques de phishing. Dharma, que fue el responsable de cientos de ataques, imita esto, al dirigirse a las víctimas a través de archivos adjuntos de correos electrónicos.

DarkSide

Se sospecha que el malware de este grupo de ransomware fue el responsable del ataque a Colonial Pipeline en 2021.

REvil

Este es quizás el grupo de RaaS más extendido. Fue el responsable de los ataques a Kaseya en el 2021, que afectaron a alrededor de 1500 organizaciones, y a CAN Financial.

11 consejos para proteger a los dispositivos del ransomware

El ransomware es solo una de las muchas amenazas que las personas deben tener en cuenta cuando utilizan Internet, y una que puede implicar mucha dificultad (y dinero) para solucionar.

Si bien es imposible neutralizar estas amenazas por completo, existe una gran cantidad de medidas y mejores prácticas que pueden mejorar la ciberseguridad frente al RaaS y que, de hecho, pueden mitigar muchos ataques digitales.

Estos son 11 consejos para proteger dispositivos electrónicos del ransomware:

1. Crea copias de seguridad en un dispositivo diferente de forma periódica. Si es necesario, crea múltiples copias de seguridad. Las organizaciones también deberían tener un plan de recuperación de datos, en caso de que suceda un ataque.

2. Usa un software avanzado de protección de endpoints que analice y elimine amenazas potenciales de manera regular.

3. Asegúrate de que todo el software esté actualizado y ejecute los últimos parches de seguridad.

4. Siempre que sea posible, activar la autenticación multifactor o biométrica.

5. No olvide la higiene de contraseñas: usa un administrador de contraseñas de confianza para generar y almacenar contraseñas seguras, y crea un nombre de usuario diferente para cada cuenta.

6. Implementa un software de análisis de correo electrónico robusto, para detectar correos electrónicos maliciosos y posibles ataques de phishing.

7. Desarrolla y mantén una directiva de ciberseguridad sólida: presta atención al perímetro exterior y crea una directiva de ciberseguridad integral que abarque toda la organización. Esta directiva debe incluir protocolos de seguridad para el acceso remoto, terceros proveedores y empleados.

8. Dado que las credenciales robadas pueden ponerse a la venta en la web oscura, utiliza Kaspersky Digital Footprint Intelligence para supervisar los recursos de red e identificar amenazas relacionadas de inmediato.

9. Utiliza el principio del menor privilegio para minimizar el acceso administrativo o al sistema al menor número de personas posible.

10. Implementa capacitaciones de concientización de seguridad que incluyan ciberseguridad de RaaS y otras amenazas potenciales.

11. Evita hacer clic en vínculos de correos electrónicos, a menos que la fuente sea conocida y de confianza; si estás en duda, escribe el sitio web en la barra de búsquedas del navegador y navega a la página de forma manual.

Por supuesto, ni siquiera las medidas de protección más estrictas podrán prevenir los ataques de ransomware todo el tiempo. Cuando ocurre lo peor, hay algunas opciones para mitigar las consecuencias de estos ataques.

La amenaza constante del ransomware como servicio

El ransomware es una preocupación de ciberseguridad en sí misma.

Pero el modelo de ransomware como servicio hizo que el este malware se vuelva una amenaza mucho mayor, al darles a más ciberdelincuentes potenciales la capacidad de iniciar estos ataques sin tener ningún tipo de conocimientos o experiencia.

Debido a que estos ataques pueden tener consecuencias financieras graves para las víctimas (ya sean organizaciones o individuos), es importante entender los diferentes métodos para proteger sistemas de ataques de ransomware.

Muchos de estos son mejores prácticas básicas de ciberseguridad, pero las organizaciones deberían medidas adicionales, como las capacitaciones de seguridad y las copias de seguridad regulares en sistemas dispares.

Productos relacionados: