O ransomware non é unha ameaza totalmente nova en internet. As súas raíces remóntanse a moitos anos atrás. Esta ameaza só se fixo máis perigosa e desapiadada co paso do tempo.
A palabra "ransomware" gañou un amplo recoñecemento como resultado do bombardeo de ciberataques que inutilizaron moitas empresas nos últimos anos.
Todos os ficheiros do teu PC foron descargados e cifrados, e entón a túa pantalla queda negra e aparece unha mensaxe en inglés.
YDebes pagar un rescate aos ciberdelincuentes de sombreiro negro en Bitcoin ou outras criptomoedas non rastreables para obter unha clave de descifrado ou evitar que os teus datos confidenciais sexan liberados na web escura.
Pero é posible que menos sexan conscientes do ransomware-as-a-Service, un modelo de negocio subterráneo ben organizado que pode levar a cabo este tipo de ataques (ou RaaS).
En lugar de realizar ataques eles mesmos, os creadores de ransomware alugan os seus caros virus a ciberdelincuentes menos experimentados que están preparados para incorrer no risco asociado á realización de operacións de ransomware.
Pero como funciona todo? Quen dirixe a xerarquía e quen funciona como intermediario? E quizais o máis importante, como podes defender a túa empresa e a ti mesmo contra estes asaltos paralizantes?
Continúa lendo para saber máis sobre RaaS.
Que é Ransomware como servizo (RaaS)?
Ransomware-as-a-service (RaaS) é un modelo de negocio de empresa criminal que permite a calquera persoa unirse e utilizar ferramentas para lanzar ataques de ransomware.
Os usuarios de RaaS, como aqueles que usan outros modelos como servizo como software como servizo (SaaS) ou plataforma como servizo (PaaS), alugan en lugar de posuír servizos de ransomware.
É un vector de ataque de código baixo e software como servizo que permite aos criminais mercar software de ransomware na web escura e realizar ataques de ransomware sen saber codificar.
Os esquemas de phishing por correo electrónico son un vector de ataque común para as vulnerabilidades RaaS.
Cando unha vítima fai clic nunha ligazón maliciosa no correo electrónico do atacante, o ransomware descárgase e esténdese pola máquina afectada, desactivando os cortalumes e o software antivirus.
O software RaaS pode buscar formas de elevar os privilexios unha vez que se violaron as defensas do perímetro da vítima e, finalmente, manter a toda a organización como refén cifrando os ficheiros ata o punto de que non sexan accesibles.
Unha vez que a vítima foi informada do ataque, o programa proporcionaralle instrucións sobre como pagar o rescate e (idealmente) obter a clave criptográfica adecuada para o descifrado.
Aínda que as vulnerabilidades de RaaS e ransomware son ilegais, os criminais que cometen este tipo de asaltos poden ser particularmente difíciles de aprehender porque utilizan os navegadores Tor (tamén coñecidos como enrutadores de cebola) para acceder ás súas vítimas e esixir pagos de rescate de bitcoins.
O FBI afirma que cada vez son máis os creadores de malware que están a difundir os seus daniños programas LCNC (código baixo/sen código) a cambio dun recorte dos ingresos da extorsión.
Como funciona o modelo RaaS?
Os desenvolvedores e afiliados colaboran para levar a cabo un ataque RaaS eficaz. Os desenvolvedores son os encargados de escribir malware especializado en ransomware, que despois se vende a unha filial.
O código do ransomware e as instrucións para lanzar o asalto son proporcionados polos desenvolvedores. RaaS é sinxelo de usar e require poucos coñecementos tecnolóxicos.
Calquera persoa que teña acceso á web escura pode entrar no portal, unirse como afiliado e lanzar asaltos cun só clic. Os afiliados elixen o tipo de virus que queren distribuír e realizan un pago mediante unha criptomoeda, xeralmente Bitcoin, para comezar.
O desenvolvedor e a filial dividen as ganancias cando se paga o diñeiro do rescate e o ataque ten éxito. O tipo de modelo de ingresos determina como se asignan os fondos.
Imos examinar algunhas destas estratexias comerciais ilegais.
Afiliado RaaS
Debido a unha variedade de factores, incluíndo o coñecemento da marca do grupo de ransomware, as taxas de éxito das campañas e o calibre e variedade dos servizos ofrecidos, os programas de afiliados subterráneos convertéronse nunha das formas máis coñecidas de RaaS.
As organizacións criminais adoitan buscar hackers que poidan entrar en redes comerciais por si mesmos para manter o seu código de ransomware dentro da banda. Despois utilizan o virus e a asistencia para lanzar o asalto.
Non obstante, un hacker pode nin sequera necesitalo dado o recente aumento do acceso á rede corporativa para a venda na web escura para satisfacer estes criterios.
Os piratas informáticos menos experimentados e ben apoiados lanzan asaltos de alto risco a cambio dunha participación no beneficio en lugar de pagar un cargo mensual ou anual por usar o código de ransomware (pero ás veces os afiliados poden ter que pagar para xogar).
A maioría das veces, as bandas de ransomware buscan piratas informáticos o suficientemente cualificados como para entrar na rede dunha empresa e o suficientemente valentes para levar a cabo a folga.
Neste sistema, o afiliado adoita recibir entre o 60% e o 70% do rescate, sendo o 30% ao 40% restante enviado ao operador RaaS.
RaaS baseado en subscrición
Nesta táctica, os estafadores pagan unha tarifa de afiliación regularmente para ter acceso a ransomware, soporte técnico e actualizacións de virus. Moitos modelos de servizos de subscrición baseados na web, como Netflix, Spotify ou Microsoft Office 365, son comparables a este.
Normalmente, os infractores do ransomware manteñen o 100% dos ingresos dos pagos do rescate se pagan o servizo por adiantado, o que pode custar entre 50 e centos de dólares cada mes, dependendo do provedor de RaaS.
Estas cotas de adhesión representan un investimento modesto en comparación co pago habitual de rescate duns 220,000 dólares. Por suposto, os programas de afiliados tamén poden incorporar un elemento baseado en subscricións de pago para xogar nos seus plans.
Permiso vitalicio
Un produtor de software malicioso pode decidir ofrecer paquetes por un pago único e evitar correr a oportunidade de estar directamente implicado en ciberataques en lugar de gañar cartos recorrentes mediante subscricións e reparto de beneficios.
Neste caso, os ciberdelincuentes pagan un cargo único para acceder durante toda a vida a un kit de ransomware, que poden usar como consideren oportuno.
Algúns ciberdelincuentes de nivel inferior poderían escoller unha compra única aínda que sexa significativamente máis cara (decenas de miles de dólares para kits sofisticados), xa que lles sería máis difícil conectarse ao operador RaaS se o operador fose apresado.
Asociacións RaaS
Os ciberataques que usan ransomware precisan que cada hacker implicado teña un conxunto único de habilidades.
Neste escenario, un grupo reuniríase e aportaría diversas contribucións á operación. Requírese un programador de códigos de ransomware, hackers de redes corporativas e un negociador de rescate de fala inglesa para comezar.
Dependendo do seu papel e importancia na campaña, cada participante, ou socio, aceptaría dividir as ganancias.
Como detectar un ataque RaaS?
Normalmente, non hai unha protección contra asaltos de ransomware que sexa 100% efectiva. Non obstante, os correos electrónicos de phishing seguen sendo o método principal utilizado para realizar asaltos de ransomware.
Polo tanto, unha empresa ten que ofrecer formación sobre concienciación sobre phishing para garantir que os membros do persoal teñan a mellor comprensión posible de como detectar correos electrónicos de phishing.
A nivel técnico, as empresas poden ter un equipo especializado en ciberseguridade encargado de buscar ameazas. A caza de ameazas é un método moi exitoso para detectar e previr asaltos de ransomware.
Neste proceso créase unha teoría utilizando a información sobre vectores de asalto. A intuición e os datos axudan á creación dun programa que poida identificar rapidamente a causa do asalto e detelo.
Para estar atento a execucións de ficheiros inesperadas, comportamentos sospeitosos, etc. na rede, utilízanse ferramentas de caza de ameazas. Para identificar intentos de ataque de ransomware, fan uso do reloxo para os indicadores de compromiso (IOC).
Ademais, utilízanse moitos modelos de caza de ameazas situacionais, cada un dos cales está adaptado ao sector da organización de destino.
Exemplos de RaaS
Os autores de ransomware acaban de darse conta do rendible que é construír un negocio RaaS. Ademais, houbo varias organizacións de actores de ameazas que estableceron operacións RaaS para propagar ransomware en case todas as empresas. Estas son algunhas das organizacións RaaS:
- Lado escuro: É un dos provedores de RaaS máis famosos. Segundo os informes, esta banda estivo detrás do ataque ao oleoduto colonial en maio de 2021. Crese que DarkSide comezou en agosto de 2020 e alcanzou o seu pico de actividade durante os primeiros meses de 2021.
- Dharma: Dharma Ransomware xurdiu orixinalmente en 2016 baixo o nome de CrySis. Aínda que houbo varias variacións de Dharma Ransomware ao longo dos anos, Dharma apareceu por primeira vez nun formato RaaS en 2020.
- Labirinto: Do mesmo xeito que con moitos outros provedores de RaaS, Maze debutou en 2019. Ademais de cifrar os datos dos usuarios, a organización RaaS ameazou con publicar os datos nun esforzo por humillar ás vítimas. O Maze RaaS pechou formalmente en novembro de 2020, aínda que as razóns disto aínda son algo confusas. Algúns académicos, con todo, cren que os mesmos infractores persistiron baixo varios nomes, como Egregor.
- DoppelPaymer: Relacionouse cunha serie de eventos, incluído un en 2020 contra un hospital de Alemaña que se cobrou a vida dun paciente.
- Ryuk: Aínda que o RaaS estivo máis activo en 2019, crese que existiu polo menos en 2017. Moitas empresas de seguridade, entre elas CrowdStrike e FireEye, negaron as afirmacións de certos investigadores de que a roupa está situada en Corea do Norte.
- LockBit: Como extensión de ficheiro, a organización emprega para cifrar os ficheiros das vítimas, ".abcd virus", apareceu por primeira vez en setembro de 2019. A capacidade de LockBit para estenderse de forma autónoma nunha rede de destino é unha das súas características. Para os posibles atacantes, isto fai que sexa un RaaS desexable.
- Verdadeiro: Aínda que hai varios provedores de RaaS, foi o máis común en 2021. O asalto de Kaseya, que ocorreu en xullo de 2021 e que tivo un impacto en polo menos 1,500 empresas, estivo vinculado ao REvil RaaS. Tamén se cre que a organización estivo detrás do ataque de xuño de 2021 contra o fabricante de carne JBS USA, polo que a vítima tivo que pagar un rescate de 11 millóns de dólares. Tamén se descubriu que foi o responsable dun ataque de ransomware ao provedor de seguros cibernéticos CNA Financial en marzo de 2021.
Como previr ataques RaaS?
Os piratas informáticos RaaS usan con máis frecuencia correos electrónicos sofisticados de phishing que están creados por expertos para parecer auténticos para distribuír malware. É necesario un enfoque sólido de xestión de riscos que admita a formación continua de concienciación sobre a seguridade para os usuarios finais para protexerse contra as explotacións RaaS.
A primeira e a mellor protección é crear unha cultura empresarial que informe aos usuarios finais sobre as técnicas de phishing máis recentes e os perigos que representan os ataques de ransomware para as súas finanzas e reputación. As iniciativas neste sentido inclúen:
- Actualizacións de software: Os sistemas operativos e as aplicacións son frecuentemente explotados polo ransomware. Para axudar a deter os ataques de ransomware, é importante actualizar o software cando se publiquen parches e actualizacións.
- Ten coidado coa copia de seguridade e restauración dos teus datos: Establecer unha estratexia de copia de seguridade e recuperación de datos é o primeiro paso e, probablemente, o máis importante. Os datos pasan a ser inutilizables para os usuarios despois do cifrado por ransomware. O impacto do cifrado de datos por parte dun atacante pódese diminuír se unha empresa ten copias de seguridade actuais que se poden utilizar nun procedemento de recuperación.
- Prevención do phishing: Phishing a través de correos electrónicos é un método típico de ataque para ransomware. Os ataques RaaS pódense evitar se existe algún tipo de protección de correo electrónico anti-phishing.
- Autenticación de múltiples factores: Algúns atacantes de ransomware utilizan o recheo de credenciais, que implica o uso de contrasinais roubados dun sitio noutro. Dado que aínda se require un segundo factor para acceder, a autenticación multifactor reduce o impacto dun único contrasinal que se usa en exceso.
- Seguridade para os extremos XDR: As tecnoloxías de seguridade dos extremos e de caza de ameazas, como XDR, ofrecen unha capa crucial adicional de defensa contra o ransomware. Isto ofrece capacidades melloradas de detección e resposta que axudan a reducir o perigo do ransomware.
- Restrición de DNS: Ransomware usa con frecuencia algún tipo de servidor de comando e control (C2) para interactuar coa plataforma dun operador RaaS. Unha consulta DNS está case sempre implicada nas comunicacións desde unha máquina infectada ata o servidor C2. As organizacións poden recoñecer cando o ransomware está tentando interactuar co RaaS C2 e evitar as comunicacións coa axuda dunha solución de seguranza de filtrado DNS. Isto pode actuar como un tipo de prevención de infeccións.
Futuro de RaaS
Os asaltos RaaS serán máis frecuentes e populares entre os piratas informáticos no futuro. Máis do 60% de todos os ciberataques dos últimos 18 meses, segundo un informe recente, estaban baseados en RaaS.
RaaS é cada vez máis popular debido ao sinxelo que é de usar e ao feito de que non é necesario ningún coñecemento técnico. Ademais, debemos prepararnos para un aumento dos asaltos RaaS que teñen como obxectivo a infraestrutura vital.
Abarca os campos da sanidade, a administración, o transporte e a enerxía. Os piratas informáticos ven estas industrias e institucións cruciais máis expostas que nunca, poñendo entidades como hospitais e centrais eléctricas no punto de mira dos ataques RaaS como cadea de materiais problemas continúan ata 2022.
Conclusión
En conclusión, aínda que Ransomware-as-a-Service (RaaS) é unha creación e un dos perigos máis recentes para atacar aos usuarios dixitais, é fundamental tomar determinadas medidas preventivas para combater esta ameaza.
Ademais doutras precaucións fundamentais de seguridade, tamén pode confiar en ferramentas antimalware de vangarda para protexelo aínda máis desta ameaza. Lamentablemente, RaaS parece estar aquí para quedarse polo momento.
Necesitarás un plan integral de tecnoloxía e ciberseguridade para protexerte contra ataques RaaS para reducir a probabilidade dun ataque RaaS exitoso.
Deixe unha resposta