El ransomware no es una amenaza nueva en Internet. Sus raíces se remontan a muchos años. Esta amenaza solo se ha vuelto más peligrosa y despiadada con el tiempo.
La palabra “ransomware” ha ganado un amplio reconocimiento como resultado del bombardeo de ciberataques que han inutilizado muchas empresas en los últimos años.
Todos los archivos en su PC han sido descargados y encriptados, y luego su pantalla se vuelve negra y aparece un mensaje en un inglés confuso.
YDebe pagar un rescate a los ciberdelincuentes de sombrero negro en Bitcoin u otras criptomonedas imposibles de rastrear para obtener una clave de descifrado o evitar que sus datos confidenciales se publiquen en la web oscura.
Pero menos pueden estar al tanto del ransomware-as-a-Service, un modelo comercial clandestino bien organizado que puede llevar a cabo este tipo de ataques (o RaaS).
En lugar de realizar ataques ellos mismos, los creadores de ransomware alquilan sus costosos virus a ciberdelincuentes menos experimentados que están listos para correr el riesgo asociado con la realización de operaciones de ransomware.
Sin embargo, ¿cómo funciona todo? ¿Quién dirige la jerarquía y quién funciona como intermediario? Y quizás lo más importante, ¿cómo puede defenderse a sí mismo y a su negocio contra estos ataques paralizantes?
Continúe leyendo para obtener más información sobre RaaS.
¿Qué es el ransomware como servicio (RaaS)?
Ransomware-as-a-service (RaaS) es un modelo comercial de empresa criminal que permite que cualquier persona se una y utilice herramientas para lanzar ataques de ransomware.
Los usuarios de RaaS, como aquellos que usan otros modelos como servicio, como software como servicio (SaaS) o plataforma como servicio (PaaS), alquilan servicios de ransomware en lugar de poseerlos.
Es un vector de ataque de software como servicio de código bajo que permite a los delincuentes comprar software de ransomware en la web oscura y llevar a cabo ataques de ransomware sin saber cómo codificar.
Los esquemas de phishing por correo electrónico son un vector de ataque común para las vulnerabilidades de RaaS.
Cuando una víctima hace clic en un enlace malicioso en el correo electrónico del atacante, el ransomware se descarga y se propaga a través de la máquina afectada, desactivando los firewalls y el software antivirus.
El software RaaS puede buscar formas de elevar los privilegios una vez que se han violado las defensas perimetrales de la víctima y, finalmente, mantener a toda la organización como rehén mediante el cifrado de archivos hasta el punto en que son inalcanzables.
Una vez que la víctima ha sido informada del ataque, el programa le proporcionará instrucciones sobre cómo pagar el rescate e (idealmente) obtener la clave criptográfica correcta para el descifrado.
Aunque las vulnerabilidades de RaaS y ransomware son ilegales, los delincuentes que llevan a cabo este tipo de ataque pueden ser particularmente difíciles de detener porque utilizan navegadores Tor (también conocidos como enrutadores cebolla) para acceder a sus víctimas y exigir pagos de rescate en bitcoins.
El FBI afirma que cada vez más creadores de malware están difundiendo sus dañinos programas LCNC (código bajo/sin código) a cambio de una parte de las ganancias de la extorsión.
¿Cómo funciona el modelo RaaS?
Los desarrolladores y afiliados colaboran para llevar a cabo un ataque RaaS efectivo. Los desarrolladores están a cargo de escribir malware ransomware especializado, que luego se vende a un afiliado.
Los desarrolladores proporcionan el código del ransomware y las instrucciones para iniciar el ataque. RaaS es simple de usar y requiere pocos conocimientos tecnológicos.
Cualquiera que tenga acceso a la web oscura puede ingresar al portal, unirse como afiliado y lanzar ataques con un solo clic. Los afiliados eligen el tipo de virus que desean distribuir y realizan un pago utilizando una criptomoneda, generalmente Bitcoin, para comenzar.
El desarrollador y el afiliado dividen las ganancias cuando se paga el dinero del rescate y el ataque tiene éxito. El tipo de modelo de ingresos determina cómo se asignan los fondos.
Examinemos algunas de estas estrategias comerciales ilegales.
Afiliado RaaS
Debido a una variedad de factores, incluido el conocimiento de la marca del grupo de ransomware, las tasas de éxito de las campañas y el calibre y la variedad de los servicios ofrecidos, los programas clandestinos de afiliados se han convertido en una de las formas más conocidas de RaaS.
Las organizaciones criminales buscan con frecuencia piratas informáticos que puedan ingresar a las redes comerciales por su cuenta para mantener su código de ransomware dentro de la pandilla. Luego utilizan el virus y la ayuda para lanzar el ataque.
Sin embargo, es posible que un pirata informático ni siquiera necesite esto dado el reciente aumento del acceso a la red corporativa para la venta en la web oscura para satisfacer estos criterios.
Los piratas informáticos menos experimentados y bien respaldados lanzan ataques de alto riesgo a cambio de una participación en las ganancias en lugar de pagar un cargo mensual o anual para usar el código de ransomware (pero en ocasiones los afiliados pueden tener que pagar para jugar).
La mayoría de las veces, las pandillas de ransomware buscan piratas informáticos lo suficientemente hábiles como para ingresar a la red de una empresa y lo suficientemente valientes como para llevar a cabo el ataque.
En este sistema, el afiliado suele recibir entre el 60 % y el 70 % del rescate, y el 30 % o el 40 % restante se envía al operador RaaS.
RaaS basado en suscripción
En esta táctica, los estafadores pagan una cuota de membresía de manera regular para tener acceso a ransomware, soporte técnico y actualizaciones de virus. Muchos modelos de servicios de suscripción basados en la web, como Netflix, Spotify o Microsoft Office 365, son comparables a este.
Normalmente, los delincuentes de ransomware se quedan con el 100 % de los ingresos de los pagos de rescate si pagan el servicio por adelantado, lo que puede costar entre $ 50 y cientos de dólares cada mes, según el proveedor de RaaS.
Estas tarifas de membresía representan una inversión modesta en comparación con el pago de rescate habitual de alrededor de $ 220,000. Por supuesto, los programas de afiliados también pueden incorporar un elemento basado en suscripción de pago por juego en sus planes.
Permiso de por vida
Un productor de malware puede decidir ofrecer paquetes por un pago único y evitar correr el riesgo de estar directamente involucrado en ataques cibernéticos en lugar de ganar dinero recurrente a través de suscripciones y participación en las ganancias.
En este caso, los ciberdelincuentes pagan un cargo único para obtener acceso de por vida a un kit de ransomware, que pueden usar de la forma que consideren apropiada.
Algunos ciberdelincuentes de nivel inferior podrían optar por una compra única, incluso si es significativamente más costosa (decenas de miles de dólares por kits sofisticados), ya que sería más difícil para ellos conectarse al operador RaaS si el operador fuera detenido.
Asociaciones RaaS
Los ataques cibernéticos que usan ransomware necesitan que cada pirata informático involucrado tenga un conjunto único de habilidades.
En este escenario, un grupo se reuniría y brindaría diversas contribuciones a la operación. Para comenzar, se requiere un desarrollador de código de ransomware, piratas informáticos de redes corporativas y un negociador de rescates que hable inglés.
Dependiendo de su papel e importancia en la campaña, cada participante o socio acordaría dividir las ganancias.
¿Cómo detectar un ataque RaaS?
Por lo general, no existe una protección contra ataques de ransomware que sea 100% efectiva. Sin embargo, los correos electrónicos de phishing siguen siendo el principal método utilizado para llevar a cabo ataques de ransomware.
Por lo tanto, una empresa debe brindar capacitación de concientización sobre phishing para garantizar que los miembros del personal tengan la mejor comprensión posible sobre cómo detectar correos electrónicos de phishing.
A nivel técnico, las empresas pueden tener un equipo de ciberseguridad especializado encargado de la búsqueda de amenazas. La caza de amenazas es un método muy exitoso para detectar y prevenir ataques de ransomware.
En este proceso se crea una teoría utilizando la información sobre los vectores de ataque. La corazonada y los datos ayudan en la creación de un programa que podría identificar rápidamente la causa del asalto y detenerlo.
Para estar atento a ejecuciones de archivos inesperadas, comportamientos sospechosos, etc. en la red, se utilizan herramientas de búsqueda de amenazas. Para identificar los intentos de ataques de ransomware, utilizan el reloj para indicadores de compromiso (IOC).
Además, se utilizan muchos modelos de búsqueda de amenazas situacionales, cada uno de los cuales se adapta a la industria de la organización objetivo.
Ejemplos de RaaS
Los autores de ransomware acaban de darse cuenta de lo rentable que es construir un negocio RaaS. Además, ha habido varias organizaciones de actores de amenazas que establecieron operaciones RaaS para propagar ransomware en casi todas las empresas. Estas son algunas de las organizaciones RaaS:
- Darkside: Es uno de los proveedores de RaaS más infames. Según los informes, esta pandilla estuvo detrás del ataque al Oleoducto Colonial en mayo de 2021. Se cree que DarkSide comenzó en agosto de 2020 y alcanzó su punto máximo de actividad durante los primeros meses de 2021.
- Dharma: Dharma Ransomware apareció originalmente en 2016 con el nombre CrySis. Aunque ha habido varias variaciones de Dharma Ransomware a lo largo de los años, Dharma apareció por primera vez en formato RaaS en 2020.
- Maze: Al igual que con muchos otros proveedores de RaaS, Maze debutó en 2019. Además de cifrar los datos de los usuarios, la organización RaaS amenazó con divulgar los datos públicamente en un esfuerzo por humillar a las víctimas. Maze RaaS cerró formalmente en noviembre de 2020, aunque las razones de esto aún son algo confusas. Sin embargo, algunos académicos creen que los mismos delincuentes han persistido bajo varios nombres, como Egregor.
- DoppelPaymer: Se ha relacionado con una serie de eventos, incluido uno en 2020 contra un hospital en Alemania que se cobró la vida de un paciente.
- Ryuk: Aunque RaaS estuvo más activo en 2019, se cree que existió al menos en 2017. Muchas empresas de seguridad, incluidas CrowdStrike y FireEye, han negado las afirmaciones de ciertos investigadores de que el equipo está ubicado en Corea del Norte.
- BloqueoBit: como extensión de archivo, la organización emplea para cifrar los archivos de las víctimas, ".abcd virus", que apareció por primera vez en septiembre de 2019. La capacidad de LockBit para propagarse de forma autónoma a través de una red de destino es una de sus características. Para los posibles atacantes, esto lo convierte en un RaaS deseable.
- Malvado: Aunque hay varios proveedores de RaaS, fue el más común en 2021. El asalto a Kaseya, que ocurrió en julio de 2021 y tuvo un impacto en al menos 1,500 empresas, estuvo vinculado al REvil RaaS. También se cree que la organización estuvo detrás del ataque de junio de 2021 contra el fabricante de carne JBS USA, por el cual la víctima tuvo que pagar un rescate de 11 millones de dólares. También se descubrió que era responsable de un ataque de ransomware contra el proveedor de seguros cibernéticos CNA Financial en marzo de 2021.
¿Cómo prevenir ataques RaaS?
Los piratas informáticos de RaaS utilizan con mayor frecuencia correos electrónicos de phishing selectivo sofisticados creados por expertos para que parezcan auténticos para distribuir malware. Es necesario un enfoque sólido de gestión de riesgos que respalde la capacitación continua sobre seguridad para los usuarios finales para protegerse contra las vulnerabilidades de RaaS.
La primera y mejor protección es crear una cultura empresarial que informe a los usuarios finales sobre las técnicas de phishing más recientes y los peligros que representan los ataques de ransomware para sus finanzas y su reputación. Las iniciativas en este sentido incluyen:
- Actualizaciones de software: Los sistemas operativos y las aplicaciones son frecuentemente explotados por ransomware. Para ayudar a detener los ataques de ransomware, es importante actualizar el software cuando se publiquen parches y actualizaciones.
- Tenga cuidado de hacer una copia de seguridad y restaurar sus datos: Establecer una estrategia de respaldo y recuperación de datos es el primer paso y, probablemente, el más importante. Los datos se vuelven inutilizables para los usuarios después del cifrado por ransomware. El impacto del cifrado de datos por parte de un atacante puede reducirse si una empresa tiene copias de seguridad actuales que pueden utilizarse en un procedimiento de recuperación.
- Prevención del phishing: El phishing a través de correos electrónicos es un método típico de ataque del ransomware. Los ataques RaaS se pueden prevenir si existe algún tipo de protección de correo electrónico antiphishing.
- Autenticación de múltiples factores: algunos atacantes de ransomware utilizan el relleno de credenciales, lo que implica el uso de contraseñas robadas de un sitio en otro. Debido a que aún se requiere un segundo factor para obtener acceso, la autenticación multifactor reduce el impacto de una sola contraseña que se usa en exceso.
- Seguridad para terminales XDR: Las tecnologías de detección de amenazas y seguridad de punto final, como XDR, ofrecen una capa adicional crucial de defensa contra el ransomware. Esto ofrece capacidades mejoradas de detección y respuesta que ayudan a reducir el peligro del ransomware.
- Restricción de DNS: el ransomware utiliza con frecuencia algún tipo de servidor de comando y control (C2) para interactuar con la plataforma de un operador RaaS. Una consulta de DNS casi siempre está involucrada en las comunicaciones de una máquina infectada al servidor C2. Las organizaciones pueden reconocer cuándo el ransomware intenta interactuar con el RaaS C2 y evitar las comunicaciones con la ayuda de una solución de seguridad de filtrado de DNS. Esto puede actuar como un tipo de prevención de infecciones.
Futuro de RaaS
Los ataques de RaaS serán más frecuentes y populares entre los piratas informáticos en el futuro. Más del 60% de todos los ciberataques en los últimos 18 meses, según un informe reciente, se basaron en RaaS.
RaaS se está volviendo cada vez más popular debido a lo simple que es de usar y al hecho de que no se necesitan conocimientos técnicos. Además, debemos prepararnos para un aumento en los ataques de RaaS dirigidos a infraestructuras vitales.
Esto cubre los campos de la salud, la administración, el transporte y la energía. Los piratas informáticos consideran que estas industrias e instituciones cruciales están más expuestas que nunca, lo que pone a entidades como hospitales y centrales eléctricas en el punto de mira de los ataques RaaS. cadena de suministro Los problemas continúan hasta 2022.
Conclusión
En conclusión, incluso si Ransomware-as-a-Service (RaaS) es una creación y uno de los peligros más recientes para aprovecharse de los usuarios digitales, es crucial tomar ciertas medidas preventivas para combatir esta amenaza.
Además de otras precauciones de seguridad fundamentales, también puede confiar en las herramientas antimalware de última generación para protegerlo aún más de esta amenaza. Lamentablemente, RaaS parece estar aquí para quedarse por el momento.
Necesitará un plan integral de tecnología y ciberseguridad para protegerse contra los ataques RaaS y reducir la probabilidad de un ataque RaaS exitoso.
Deje un comentario