¿Qué es el ransomware como servicio?

El ransomware como servicio (RaaS) es un modelo de distribución específico para un tipo determinado de malware y supone una amenaza significativa para la ciberseguridad.

Este modelo de afiliación ofrece a los potenciales ciberdelincuentes la oportunidad de iniciar ataques sin los conocimientos técnicos y de programación necesarios, lo que aumenta la prevalencia de los ataques de ransomware.

Dado el gran daño que puede causar el ransomware, es muy importante para las empresas entender las implicaciones del RaaS para la ciberseguridad y por qué es fundamental proteger los sistemas de estos ataques.

Entender al ransomware como servicio

El ransomware como servicio (RaaS) es un modelo de negocios que se especializa en un tipo de malware determinado (el ransomware) y opera en la dark web.

En pocas palabras, se trata de la evolución maliciosa del modelo tradicional y legal del software como servicio (SaaS), utilizado por muchas empresas reconocidas, como Microsoft, Adobe, Shopify, Zoom y Dropbox. En el modelo comercial del RaaS, los operadores crean el ransomware (y, por lo general, un ecosistema completo a su alrededor) y lo ofrecen a terceros.

Los ciberdelincuentes pueden "suscribirse" al ransomware como servicio (RaaS) de manera gratuita. Una vez que se convierten en partners del programa, pagan por el servicio un porcentaje del rescate después de que se perpetra el ataque.

Los ciberatacantes que desean llevar a cabo ataques de ransomware pero carecen del tiempo y de la habilidad necesarios para desarrollar su propio malware pueden simplemente elegir una solución de RaaS en la web oscura.

Pueden acceder al ransomware y a todos los componentes necesarios, como paneles de comando y control (C2), constructores (programas para la creación rápida de muestras únicas de malware), actualizaciones de interfaz y malware, soporte, instrucciones y servicios de host.

Luego, pueden iniciar el ataque, sin tener que hacer el trabajo de desarrollo. De esta forma, los actores maliciosos pueden ejecutar una cadena de ataques de ransomware sofisticados sin ningún tipo de conocimiento o experiencia en el desarrollo de esta clase de malware.

Los operadores que ofrecen ransomware como servicio suelen desarrollar una oferta completa de productos en torno al malware. Esta puede incluir una amplia gama de servicios, como foros de la comunidad, manuales para ataques estratégicos y servicio de soporte al cliente.

Esto resulta muy útil para los potenciales atacantes que no tienen experiencia en la ejecución de ciberataques. Entre los servicios de RaaS adicionales pueden encontrarse los siguientes:

Herramientas de personalización para crear ataques altamente selectivos.
Herramientas adicionales, como programas para la exfiltración de datos.
Foros de la comunidad para compartir consejos y debates.
Manuales para ataques estratégicos.
Instrucciones para la configuración del panel y del producto.
Manuales sobre ataques que incluyen una descripción de las herramientas, tácticas y técnicas para los atacantes.

Sin importar el tipo de ransomware como servicio que el atacante decida utilizar, el objetivo final siempre es el mismo: poner en riesgo la red de un individuo (o una organización) y robar o cifrar datos, para luego hacer que la víctima pague un rescate.

La diferencia entre malware, ransomware y ransomware como servicio

Malware es el término general para cualquier clase de software malicioso que se utiliza para obtener acceso no autorizado a un sistema de TI o dispositivo electrónico. Esto podría perseguir varias finalidades como, por ejemplo, el robo de datos y la interrupción de un sistema.

Sin embargo, el ransomware es un malware que se utiliza para infectar el sistema de la víctima y cifrar o destruir sus datos.

Después, se puede pedir al objetivo que pague un rescate (en inglés, "ransom") para evitar que el atacante divulgue la información o para recibir la clave de descifrado necesaria para restaurar los datos, en caso de haberse cifrado.

¿Cuáles son las consecuencias legales del ransomware como servicio (RaaS)?

Teniendo en cuenta que el RaaS hace posible una clase determinada de ciberdelito y que opera en la web oscura, debería ser muy claro que todo el modelo comercial es ilegal. Cualquier tipo de participación en la industria, ya sea como operador o como afiliado ("suscriptor"), es ilegal.

Esto incluye la venta de RaaS, la compra de RaaS con la intención de llevar a cabo ataques de ransomware, el acceso a redes, el cifrado de datos o el pedido de rescates como extorsión.

¿Cómo funciona el ransomware como servicio?

El RaaS funciona en una jerarquía organizacional. En la cima de la escalera se encuentra el operador, que suele ser un grupo que desarrolla el ransomware y lo pone a la venta.

En esencia, el operador actúa como administrador y supervisa todos los aspectos de las operaciones comerciales del RaaS, incluida la administración de la infraestructura y la interfaz del usuario.

Con frecuencia, el operador maneja los pagos de rescates y proporciona la clave de descifrado a las víctimas que pagan. Dentro del grupo operador, puede haber funciones designadas más pequeñas, como administradores, desarrolladores y equipos de prueba.

Los afiliados del RaaS (los "clientes") compran el acceso al servicio para usar el ransomware del operador en ataques. Estos identifican oportunidades para los ataques y los despliegan.

La función del afiliado es identificar objetivos, ejecutar el ransomware, fijar el rescate, administrar la comunicación tras el ataque y enviar las claves de descifrado cuando se paga el rescate.

En las investigaciones de Kaspersky para el Día del antirransomware, 2023, se revelaron los principales vectores iniciales de ataques de ransomware en 2022. Según el informe, más del 40% de las empresas experimentó al menos un ataque de ransomware durante el año pasado, siendo el pago de rescate promedio de USD 6500 para pequeñas y medianas empresas, y de USD 98 000 para grandes empresas.

El estudio identificó los principales puntos de entrada de los ataques, en los que se incluían el aprovechamiento de aplicaciones de uso público (43%), cuentas de usuario en riesgo (24%) y correos electrónicos maliciosos (12%).

Una vez que se descarga el ransomware en el sistema, este intenta deshabilitar el software de seguridad de endpoints. Una vez que el atacante obtiene acceso, puede reinstalar herramientas y malware.

Esto le permite moverse a través de la red y desplegar el ransomware. Esto les permite moverse a través de la red y desplegar el ransomware. Después de cifrar los archivos, pueden enviar un pedido de rescate.

En general, esto se hace a través de un archivo TXT que aparece en la computadora de la víctima y que le informa que el atacante accedió a su sistema y debe pagar un rescate para recibir la clave de descifrado si desea volver a tener el control.

¿Cómo se monetiza el ransomware como servicio?

Los ciberdelincuentes pueden "suscribirse" al ransomware como servicio (RaaS) de manera gratuita. Una vez que se convierten en partners del programa, pagan por el servicio después de perpetrar el ataque.

El monto del pago es un porcentaje del rescate que paga la víctima y suele oscilar entre el 10 % y el 40 % de cada transacción. Sin embargo, ingresar al programa no es tarea fácil, ya que deben cumplirse requisitos estrictos.

Ejemplos de ransomware como servicio para tener en cuenta

Los ciberdelincuentes se han vuelto adeptos a evolucionar sus servicios de ransomware para poder cumplir siempre los requisitos de los "clientes" que compran el RaaS.

Existe una gran variedad de programas de ransomware como servicio (RaaS) disponibles en la web oscura, y conocer a algunos de los más importantes puede ser útil para entender cómo y por qué son una amenaza.

Estos son algunos ejemplos de ransomware como servicio que tuvieron una amplia difusión en los últimos años.

LockBit

Este ransomware específico accedió a las redes de muchas organizaciones aprovechando los bloques de mensajes del servidor (SMB) y el programa de administración de configuración y automatización PowerShell de Microsoft.

BlackCat

Este ransomware puede personalizarse de manera sencilla a través de la programación con Rust y, por ende, puede desplegarse en numerosas arquitecturas de sistemas.

Hive

Un tipo especialmente vil de RaaS. Hive obliga a las víctimas a pagar el rescate divulgando públicamente los datos de acceso al sistema y, con frecuencia, proporcionando un tiempo límite antes de que la información robada se filtre.

Dharma

Los correos electrónicos son el método más habitual para ejecutar ataques de phishing. Dharma, que fue el responsable de cientos de ataques, los imita al dirigirse a las víctimas a través de archivos adjuntos de correos electrónicos.

DarkSide

Se sospecha que el malware de este grupo de ransomware fue el responsable del ataque a Colonial Pipeline en 2021.

REvil

Este es quizás el grupo de RaaS más extendido. Fue el responsable de los ataques a Kaseya en 2021 que afectaron a alrededor de 1500 organizaciones y a CAN Financial.

11 consejos para proteger a los dispositivos del ransomware

El ransomware es solo una de las muchas amenazas que las personas deben tener en cuenta cuando utilizan Internet, y una que cuya resolución puede resultar difícil (y costosa).

Si bien es imposible neutralizar estas amenazas por completo, hay una gran cantidad de medidas y mejores prácticas que pueden mejorar la ciberseguridad frente al RaaS y que, de hecho, pueden mitigar muchos ataques digitales.

Estos son 11 consejos para proteger dispositivos electrónicos del ransomware:

1. Crea copias de seguridad en un dispositivo diferente de forma periódica. Si es necesario, crea múltiples copias de seguridad. Las organizaciones también deberían tener un plan de recuperación de datos, en caso de que se produzca un ataque.

2. Usa un software avanzado de protección de endpoints que analice y elimine amenazas potenciales de manera regular.

3. Asegúrate de que todo el software esté actualizado y ejecute los últimos parches de seguridad.

4. Habilita la autenticación multifactor o biométrica siempre que sea posible.

5. No olvides la higiene de contraseñas: usa un administrador de contraseñas de confianza para generar y almacenar contraseñas seguras, y crea un nombre de usuario diferente para cada cuenta.

6. Implementa un software de análisis de correo electrónico robusto para detectar correos electrónicos maliciosos y posibles ataques de phishing.

7. Desarrolla y mantén una directiva de ciberseguridad sólida: presta atención al perímetro exterior y crea una directiva de ciberseguridad integral que abarque toda la organización. Esta directiva debe incluir protocolos de seguridad para el acceso remoto, terceros proveedores y empleados.

8. Dado que las credenciales robadas pueden ponerse a la venta en la web oscura, utiliza Kaspersky Digital Footprint Intelligence para supervisar los recursos de red e identificar amenazas relacionadas de inmediato.

9. Utiliza el principio del menor privilegio para reducir el acceso administrativo o al sistema al menor número de personas posible.

10. Implementa capacitaciones de concientización de seguridad que incluyan ciberseguridad de RaaS y otras amenazas potenciales.

11. Evita hacer clic en vínculos de correos electrónicos a menos que la fuente sea conocida y de confianza Si estás en duda, escribe el sitio web en la barra de búsqueda del navegador y navega a la página de forma manual.

Por supuesto, ni siquiera las medidas de protección más estrictas pueden prevenir los ataques de ransomware todo el tiempo. Cuando ocurre lo peor, hay algunas opciones para mitigar las consecuencias de estos ataques.

La amenaza constante del ransomware como servicio

El ransomware es una preocupación de ciberseguridad en sí misma. Pero el modelo comercial de ransomware como servicio hizo que este malware se convirtiera en una amenaza mucho mayor al darles a más ciberdelincuentes potenciales la capacidad de iniciar estos ataques sin tener ningún tipo de conocimientos o experiencia.

Debido a que estos ataques pueden tener consecuencias financieras graves para las víctimas (ya sean organizaciones o individuos), es importante entender los diferentes métodos para proteger sistemas de ataques de ransomware.

Muchos de estos son mejores prácticas básicas de ciberseguridad, pero las organizaciones deberían tomar medidas adicionales, como capacitaciones de seguridad y copias de seguridad regulares en sistemas dispares.

Productos relacionados: