Ransomware as a Service es un término en inglés que hace referencia a un modelo de negocio en el que los desarrolladores de ransomware proporcionan herramientas a los actores maliciosos interesados para que puedan lanzar ataques de ransomware. Los usuarios se registran para crear malware como servicio o unirse a programas afiliados y distribuir una variedad de ransomware a cambio de un porcentaje de las ganancias. Este modelo de negocio en torno al ransomware no es nuevo, ni es exclusivo de este tipo de amenazas cibernéticas y malware como servicio. Pero en los últimos dos años, RaaS ha crecido y ahora hay muchos grupos de ransomware que operan en esas condiciones.
¿Qué es exactamente el ransomware como servicio o RaaS?
El servicio lo brindan los grupos ciberdelincuentes que desarrollan dicho código malicioso, y en foros clandestinos donde buscan reclutar afiliados, que son las personas que se dan de alta en el servicio.
Estas son dos partes: el creador del ransomware y el afiliado o contratista de servicios responsable de distribuir la amenaza.
Los afiliados tienen acceso a una infraestructura robusta y bien desarrollada que contiene código malicioso diseñado para eludir las defensas, sin necesidad de programar o construir algo propio. Además, quienes obtengan el servicio pueden acceder al panel de control para establecer la cantidad de rescate que se le exigirá a cada víctima.
Algunos grupos de ransomware, como REvil, revelaron en una entrevista en 2021 que tenían 60 miembros afiliados que distribuían este ransomware, lo que explica la popularidad de REvil en 2020-2021, siendo la organización más activa a nivel mundial. Cuantos más afiliados propaguen la amenaza de forma independiente, mayor será el número de ataques.
El concepto es muy similar al alquiler de un servicio en la nube, donde solo paga una tarifa mensual para acceder a todos los servicios que ofrece la estructura.
El costo de usar el marco, así como la funcionalidad proporcionada a los afiliados, depende del grupo de ciberdelincuentes que se contrate. A continuación se enumeran algunas de las funciones que ofrecen estos delincuentes, pero es importante tener en cuenta que estos elementos no están necesariamente asociados con ofertas de grupos específicos.
- Malware que está listo para su distribución, evade la detección y tiene técnicas de ofuscación para su ejecución;
- Distribución de los fondos obtenidos mediante el pago del rescate: Aquí puede haber diferentes formas. En algunos casos, el porcentaje del monto cobrado por los afiliados puede oscilar entre el 50% y el 70%, o incluso llegar al monto total, ya que en algunos casos, los ciberdelincuentes solo cobran por crear malware y usar estructuras.
- Actualmente el modelo más común es que la víctima paga un determinado porcentaje del rescate;
-Orquestación integral de ataques realizados a través de servidores de comando y control (C&C);
- Antes del cifrado, es posible robar información sensible del entorno de la víctima para futuras extorsiones (Doxing);
- Ayuda a conseguir nuevos objetivos para atacar.
Recientemente se ha observado que el número de familias de ransomware ha aumentado considerablemente, mientras que las detecciones de las propias amenazas han disminuido.
Esto significa que las familias de malware se están volviendo más asertivas en sus ataques, a menudo explotando vulnerabilidades sin parches para obtener acceso inicial al entorno.
Consideramos que el ransomware es un modelo de servicio comercial, uno de cuyos objetivos principales es "armar" a aquellos que desean interrumpir una estructura de red en particular pero carecen de conocimientos. Si bien un ataque de ransomware puede ser catastrófico para una organización, lo que es aún más preocupante es que la persona contratada para interrumpir el servicio probablemente sea un miembro de la empresa objetivo o un competidor comercial. Por ejemplo, el ransomware Lockbit 2.0, en sitios web oscuros, invita a aquellos que tienen acceso a las redes de la empresa e información dentro de la organización a unirse a ellos.
Este puede ser uno de los peores escenarios si los afiliados de la organización criminal son empleados o proveedores de servicios, ya que las empresas a menudo aseguran el perímetro y "olvidan" proteger los dispositivos internos, lo que permite que el malware no tenga problemas para infectar el entorno y comenzar a propagarse. Por lo tanto, prestar atención a la seguridad del software dentro de la organización y detectar y descubrir las vulnerabilidades de seguridad a tiempo ayudará a mejorar la seguridad de los equipos internos.
Cómo los delincuentes intentan contratar servicios de ransomware
Si sabe un poco sobre el acceso a la web oscura o algunos sitios relacionados, puede que le lleve poco tiempo encontrar una oferta de RaaS.
Por lo tanto, es probable que RaaS tenga un impacto cada vez mayor en el panorama de seguridad global, y las empresas deben considerar esta amenaza como de alto riesgo y alta probabilidad, y tomar medidas para prevenir la infección por ransomware.
Las prácticas para protegerse contra tales amenazas incluyen:
Aplique el principio de privilegio mínimo: intente limitar al máximo los privilegios de todos los usuarios de la red.
Concéntrese no solo en las defensas externas, sino en el conjunto: cuando se trata de seguridad, concéntrese en un enfoque lo más completo posible. Proteja las computadoras y el software en el entorno de la red, no solo en el perímetro de la red.
Procesos de revisión y control: Esto se aplica a los derechos de acceso, usuarios, grupos, procesos y cualquier otra cosa en el entorno. Realice revisiones regulares de privilegios, grupos, usuarios que están de vacaciones/fuera de la oficina/desconectados de la empresa y todos los demás aspectos de su entorno.
Mantener el entorno de seguridad empresarial en evolución: el antivirus, el cortafuegos y la copia de seguridad de la información se han convertido en operaciones esenciales. Una situación más rigurosa es detectar la seguridad del software en el entorno.Este tipo de detección de seguridad se puede llevar a cabo mediante análisis de código estático, análisis dinámico, etc., durante el ciclo de vida del desarrollo para encontrar y corregir vulnerabilidades de seguridad. Además, sobre la base de las soluciones de seguridad existentes, mejorar gradualmente las medidas de seguridad.
Ayude a los empleados a comprender la seguridad de la información: cosas como campañas periódicas para abordar la identificación de métodos de phishing, cómo los delincuentes se acercan a las víctimas y la seguridad del entorno dentro y fuera de la empresa pueden reducir efectivamente la probabilidad de incidentes de seguridad.