El ransomware es uno de los tipos de malware más comunes entre los diversos tipos de ataques cibernéticos que puedes enfrentar a nivel mundial. Está diseñado para bloquear el acceso de un usuario a sus datos, exigiendo un rescate para restaurar el acceso. Puede verse afectado un individuo o una empresa por igual ya que el ransomware no discrimina.
Sin embargo, de acuerdo a una investigación de Sophos solo una de cada 10 empresas recupera sus datos después de pagar el rescate.
A pesar de ser una forma de ataque relativamente nueva en la industria de las amenazas cibernéticas, el ransomware está al alza cada día, con su alcance y propagación extendiéndose cada vez más.
Si es la primera vez que escuchas sobre el ransomware, lee nuestra guía completa para obtener más información. Mientras tanto, en este artículo vamos a cubrir todo lo referente al ransomware como servicio (RaaS) y su impacto en las empresas modernas.
¿Qué es RaaS?
RaaS o ransomware como servicio no es simplemente otro ciberataque; es una evolución de la retención a través de un servicio que provee un tercero. Cabe preguntarse entonces ¿qué es exactamente Ransomware-como-servicio?
RaaS (Ransomware-as-a-Service según sus siglas en inglés) es un modelo de suscripción que permite a los criminales informáticos sin experiencia usar herramientas prediseñadas de malware para implementar ataques de ransomware, a razón de que este tipo de ataque cibernético reciben altos dividendos de cualquier pago exitoso.
El RaaS es similar a SaaS (Software-as-a-Service) ya que no se necesita habilidad específica alguna para usar RaaS. Es por eso que es mucho más fácil para los delincuentes informáticos ejecutar ataques sofisticados utilizando soluciones RaaS.
¿Cómo funciona el ransomware como servicio?
Las herramientas de ransomware son desarrolladas por expertos en informática que luego las venden a afiliados a esta clase de servicios en plataformas de la web oscura.
Después del desarrollo, la herramienta de ransomware es modificada a una infraestructura de usuarios múltiples. Los atacantes cibernéticos deben obtener un permiso para usarlo, dicho registro está disponible luego de un pago único, una suscripción mensual o una comisión de lo que se obtiene con el ataque.
Una vez que el actor malicioso accede al software, este obtiene una guía que explica paso a paso cómo llevar a cabo el ataque de ransomware. También es posible que los piratas informáticos hagan seguimiento a los intentos de infección del ransomware a través de un tablero específico.
Los registros de los actores maliciosos reciben un código de explotación personalizado para implementar sus ataques; estos códigos se envían al alojamiento del sitio web para que los usuarios del RaaS puedan lanzar sus ataques sin mayores problemas.
¿Cuándo comenzó el ransomware como servicio?
El ransomware no es nuevo, el primer modelo de RaaS, Ransom32, era compatible con varios sistemas operativos, debido a que fue desarrollado en JavaScript, HTML y CSS, por lo que también puede infectar Linux y MacOS.
Ransom32 encripta los archivos del lado del cliente con muy pocos recursos, ya que cualquier hacker puede registrarse en Tor usando una dirección de Bitcoin, para luego descargar y configurar su propia versión de Ransom32. Los desarrolladores de este malware suelen tomar 25% del pago de un rescate y entregan el monto restante a los usuarios de ransomware.
¿El RaaS es un crimen?
Sí, el ransomware como servicio, así como el ransomware propiamente, son ilegales en todo el mundo, ya que no se trata de capturar datos, sino también de exigir rescate. Los atacantes comúnmente solicitan a las víctimas que paguen con Bitcoin ya que este es imposible de rastrear.
En 2014, el Servicio de Impuestos Internos de los Estados Unidos declaró a Bitcoin una propiedad, no una moneda; por lo que su uso está sujeto a impuestos, lo que trajo como consecuencia que cualquier persona que exija rescates con Bitcoin puede ser procesada por violar leyes y regulaciones de servicios financieros.
A pesar de esto los ataques ransomware no han sido procesados debidamente gracias a la naturaleza imposible de rastrear de este método de pago. Por otro lado, los funcionarios encargados de hacer cumplir la ley en Estados Unidos alientan a las víctimas de ransomware a denunciar los ataques.
Como se menciona en la investigación reciente del Servicio de Investigación del Congreso, la Ley de Abuso y Fraude Informático (CFAA) puede utilizarse para criminalizar los ataques de ransomware.
¿Los ataques RaaS son eficientes?
El ransomware como servicio es bastante eficiente ya que simplifica el proceso de ganar dinero mediante la propagación de malware. Los programas de afiliados que subyacen a RaaS lo hacen mucho más atractivo para los actores maliciosos ya que esto se valen de desarrolladores que usan la dark web para vender o alquilar este tipo de malware.
La investigación de Group-IB muestra que al menos dos tercios de los ataques de ransomware en 2020 se llevaron a cabo usando el modelo RaaS. Los atacantes están entusiasmados con el uso de RaaS, ya que no requiere habilidades técnicas para llevar a cabo sus fechorías; la idea de ganar dinero con software listo para su uso es un perfecto aliciente.
El precio del rescate también aumenta cada año, la demanda promedio por rescate en 2021 fue de $50 millones de dólares en comparación con los $847,000 de 2020.
Muchas empresas subestiman el poder de los ataques de ransomware y dejan de instalar parches de seguridad de software actualizados, cuando lo pertinente es que cualquier organización considere el RaaS como una amenaza para sus datos.
Ejemplos de ransomware como servicio
Existen muchos ejemplos de ataques de ransomware como servicio, pero a continuación procedemos a destacar los dos más famosos:
- LockBit dio a conocer un evento de este tipo el 29 de septiembre del año 2020. Fue un ataque RaaS dirigido a usuarios de habla rusa. El ataque se llevó a cabo en mayo del 2020 cuando un pirata informático amenazó con publicar datos en un popular foro criminal en idioma ruso. El hacker se valió de múltiples pruebas para dejar saber que iba en serio, tales como capturas de pantalla de documentos con los datos de sus víctimas, para así obligar a pagar antes de que venciera el plazo. Al menos seis personas se vieron expuestas a esta amenaza.
- REvil también conocido como Sodinokibi, se hizo famoso con una de las demandas de rescate más grandes registradas hasta el momento: $10 millones de dólares; el atacante pertenece al grupo criminal PINCHY SPIDER, un cónclave dedicado a la venta de RaaS con modelos afiliados y que obtiene el 40% de todas las ganancias de los ataques llevado a cabo con su malware.
¿Por qué los RaaS son peligrosos para tu negocio?
Solo porque una empresa puede y está dispuesta a pagar cierta cantidad de dinero por un rescate, esta no garantiza la devolución de los datos al 100%, por lo que nunca se puede confiar en los delincuentes informáticos, ya que no siempre cumplen sus promesas de entregar la clave para retirar la encriptación y restablecer el acceso a tus documentos nuevamente.
Para la mayoría de los atacantes RaaS, es una pérdida de tiempo proporcionar una clave de retiro de la encriptación a todas las víctimas que pagan, ya que estos prefieren invertir su tiempo cazando nuevas víctimas.
Las empresas y organizaciones deben tomar los ataques RaaS muy en serio y aplicar medidas y tácticas de detección efectivas para detener cualquier potencial ataque de ransomware.
¿Cómo protegerse contra el RaaS?
Existen varios métodos de protección contra el RaaS que las organizaciones pueden considerar, a continuación, hemos resaltado algunos de los más esenciales.
- Monitoriza tu infraestructura empresarial constantemente para detectar vulnerabilidades con antelación.
- Instruya a su personal sobre RaaS y ataques de ransomware en general.
- Considera la posibilidad de realizar copias de seguridad de datos confidenciales en discos duros externos, ten presente que el almacenamiento en la nube no 100% es fiable.
- Usa DKIM y DMARC para evitar ataques phishing en tu dominio.
- Aplica políticas de restricción de software (RSP) para evitar que los programas se ejecuten en entornos comunes de ataques ransomware.
- No hagas clic en enlaces sospechosos.
Pensamientos de cierre
La detección temprana de cualquier forma de ataque cibernético, incluido el ransomware, es vital para toda empresa y organización, ya que el RaaS es una amenaza que avanza a ritmo rápido y los piratas informáticos nunca dejan de desarrollar nuevas tácticas para lograr sus objetivos, por lo que las empresas deben invertir tiempo y esfuerzo en la prevención de malware.
El RaaS es una amenaza costosa para las empresas, y nadie puede estar totalmente seguro si volverán a tener acceso a sus datos perdidos.
Si no quieres que tu negocio esté expuesto a un ataque de ransomware, considera una estrategia de protección permanente contra el ransomware-como-servicio.