Inicio
Topics
Ransomware como servicio
Actualizado: 5 de septiembre de 2024
Colaboradores: Jim Holdsworth, Matthew Kosinski
El ransomware como servicio (RaaS) es un modelo de negocio de la ciberdelincuencia en el que los desarrolladores de ransomware venden código ransomware o malware a otros hackers, llamados "afiliados", que luego utilizan el código para iniciar sus propios ataques de ransomware.
Los acuerdos de ransomware como servicio son populares entre los ciberdelincuentes. El ransomware sigue siendo una ciberamenaza común y está implicado en el 20 % de todos los ciberdelitos, según el IBM X-Force Threat Intelligence Index. Muchas de las cepas de ransomware más conocidas y devastadoras, como LockBit y BlackBasta, se propagan a través de las ventas de RaaS.
Es fácil entender la proliferación del modelo RaaS. Al subcontratar algunos de sus esfuerzos a los proveedores de RaaS, los posibles hackers tienen una entrada más rápida y fácil en la ciberdelincuencia. Incluso los actores de amenazas con experiencia técnica limitada ahora pueden iniciar ciberataques.
RaaS beneficia a ambas partes. Los hackers pueden beneficiarse de la extorsión sin desarrollar su propio malware. Al mismo tiempo, los desarrolladores de ransomware pueden aumentar sus beneficios sin el esfuerzo de atacar redes y pueden beneficiarse de víctimas que de otro modo no habrían localizado.
El equipo de hackers, personal de respuesta, investigadores y analistas de inteligencia de X-Force puede ayudarle a prepararse y recuperarse de los ciberincidentes.
RaaS funciona del mismo modo que los modelos de negocio legítimos software como servicio (SaaS). Los desarrolladores de ransomware, también llamados operadores RaaS o grupos RaaS, asumen el trabajo de desarrollar y mantener las herramientas y la infraestructura del ransomware. Agrupan sus herramientas y servicios en kits RaaS que venden a otros hackers, conocidos como afiliados RaaS.
La mayoría de los operadores de RaaS utilizan uno de estos modelos de ingresos para vender sus kits:
Los afiliados a RaaS pagan una cuota periódica, a veces de tan sólo 40 dólares al mes, por el acceso a las herramientas contra el ransomware.
Los afiliados pagan una tarifa única para comprar el código ransomware directamente.
Los afiliados pagan una cuota mensual y comparten un pequeño porcentaje de los pagos de rescate que reciben con los operadores.
Los operadores no cobran nada por adelantado, pero se llevan una parte importante de cada rescate que recibe el afiliado, a menudo entre el 30 % y el 40 %.
Los kits RaaS se anuncian en foros de la red oscura en todo el ecosistema clandestino, y algunos operadores de ransomware reclutan activamente a nuevos afiliados, invirtiendo millones de dólares estadounidenses en campañas de captación en la dark web.
Una vez que han adquirido un kit RaaS, los afiliados obtienen algo más que malware y claves de descifrado. A menudo reciben un nivel de servicio y asistencia a la altura de los proveedores legales de SaaS. Algunos de los operadores RaaS más sofisticados ofrecen servicios como:
Todos los ataques de ransomware pueden tener graves consecuencias. Según el informe "Cost of a Data Breach" de IBM, la vulneración media de ransomware cuesta a su víctima 4,91 millones de dólares. Pero los ataques de los afiliados de RaaS plantean desafíos adicionales para los profesionales de la ciberseguridad, que incluyen:
Bajo el modelo RaaS, las personas que llevan a cabo los ciberataques podrían no ser las mismas que desarrollaron el malware en uso. Además, diferentes grupos de hackers podrían estar utilizando el mismo ransomware. Los profesionales de la ciberseguridad podrían no ser capaces de atribuir definitivamente los ataques a un grupo o grupos específicos, lo que dificultaría la elaboración de perfiles y la captura de los operadores y afiliados de RaaS.
Al igual que la economía legal, la economía de la ciberdelincuencia ha dado lugar a una división del trabajo. Los actores de las amenazas pueden ahora especializarse y perfeccionar su oficio. Los desarrolladores pueden centrarse en escribir malwares cada vez más potentes, y los afiliados en desarrollar métodos de ataque más eficaces.
Una tercera clase de ciberdelincuentes llamados "intermediarios de acceso" se especializa en infiltrarse en las redes y vender puntos de acceso a los atacantes. La especialización permite a los hackers moverse más rápido y realizar más ataques. Según el X-Force Threat Intelligence Index, el tiempo medio para preparar e iniciar un ataque de ransomware ha pasado de más de 60 días en 2019 a 3,84 días en la actualidad.
RaaS permite a los operadores y afiliados compartir el riesgo, lo que hace que cada uno sea más resiliente. La captura de los afiliados no supone el cese de la actividad de los operadores y estos pueden cambiar a otro kit de ransomware si un operador es capturado. También se sabe que los hackers reorganizan y renuevan sus actividades para evadir a las autoridades.
Por ejemplo, después de que la Oficina de Control de Activos Extranjeros de Estados Unidos (OFAC) sancionara a la banda de ransomware Evil Corp, las víctimas dejaron de pagar rescates para evitar las sanciones de la OFAC. En respuesta, Evil Corp cambió el nombre (enlace externo a ibm.com) de su ransomware para que siguieran llegando los pagos.
Los ciberdelincuentes que utilizan ataques RaaS han descubierto que a menudo pueden exigir pagos de rescate más altos y más rápidos si no cifran los datos de la víctima. El paso adicional de restaurar los sistemas puede retrasar los pagos. Además, cada vez más organizaciones han mejorado sus estrategias de copia de seguridad y recuperación, con lo que el cifrado les resulta menos perjudicial.
En cambio, los ciberdelincuentes atacan a las organizaciones con grandes almacenes de información de identificación personal confidencial (PII), como los proveedores sanitarios, y amenazan con filtrar esa información confidencial. Las víctimas suelen pagar un rescate antes que sufrir la vergüenza, y las posibles repercusiones legales, de una filtración.
Puede ser difícil precisar qué bandas son responsables de qué ransomware o qué operadores iniciaron un ataque. Dicho esto, los profesionales de la ciberseguridad han identificado algunos operadores importantes de RaaS a lo largo de los años, entre ellos:
Identificado por primera vez en 2015, Tox es considerado por muchos como el primer RaaS.
LockBit es una de las variantes RaaS más generalizadas, según el X-Force Threat Intelligence Index. LockBit suele propagarse a través de correos electrónicos de phishing. En particular, la banda que está detrás de LockBit ha intentado reclutar a afiliados empleados por sus víctimas objetivo, lo que facilita la infiltración.
La variante de ransomware de DarkSide se utilizó en el ataque de 2021 al oleoducto estadounidense Colonial Pipeline, considerado el peor ciberataque contra infraestructuras cruciales estadounidenses hasta la fecha. DarkSide cerró en 2021, pero sus desarrolladores lanzaron un kit RaaS sucesor llamado BlackMatter.
REvil, también conocido como Sodin o Sodinokibi, produjo el ransomware detrás de los ataques de 2021 contra JBS USA y Kaseya Limited. En su apogeo, REvil era una de las variantes de ransomware más extendidas. El Servicio Federal de Seguridad ruso clausuró REvil e imputó a varios miembros clave a principios de 2022.
Antes de cerrar en 2021, Ryuk era una de las mayores operaciones de RaaS. Los desarrolladores detrás de Ryuk lanzaron Conti, otra variante importante de RaaS, que se utilizó en un ataque contra el gobierno de Costa Rica en 2022.
Hive saltó a la fama en 2022 tras un ataque a Microsoft Exchange Server. Las filiales de Hive constituían una importante amenaza para empresas financieras y organizaciones sanitarias hasta que el FBI acabó con el operador.
Black Basta, que llegó como amenaza en 2022, se cobró rápidamente más de 100 víctimas en Norteamérica, Europa y Asia. Mediante ataques dirigidos, los hackers exigirían una doble extorsión: tanto para descifrar los datos de la víctima como con la amenaza de divulgar información confidencial al público.
En 2023, el grupo de ransomware CL0P aprovechó una vulnerabilidad en la aplicación de transferencia de archivos MOVEit para exponer información sobre millones de personas.
El Eldorado RaaS se anunció a principios de 2024 en un anuncio en un foro de ransomware. En tres meses, ya se habían producido 16 atentados contra víctimas en Estados Unidos y Europa.1
Aunque RaaS ha cambiado el panorama de las amenazas, muchas de las prácticas estándar para la protección contra el ransomware pueden seguir siendo eficaces para combatir los ataques RaaS.
Muchos afiliados de RaaS son menos hábiles técnicamente que los atacantes de ransomware anteriores. Colocar suficientes obstáculos entre los hackers y los activos de red puede hacer que algunos ataques RaaS se desistan por completo. Algunas tácticas de ciberseguridad que podrían ser útiles:
La planificación de la respuesta a los incidentes puede ser especialmente útil para los ataques de RaaS. Dado que la atribución de los ataques puede ser difícil de determinar, los equipos de respuesta a incidentes no pueden contar con que los ataques de ransomware utilicen siempre las mismas tácticas, técnicas y procedimientos (TTP).
Además, cuando los equipos de respuesta a incidentes expulsan a los afiliados de RaaS, los intermediarios de acceso podrían seguir activos en sus redes. La búsqueda proactiva de amenazas y la investigación exhaustiva de incidentes pueden ayudar a los equipos de seguridad a erradicar estas amenazas evasivas.
Para identificar los ataques de ransomware en curso, las organizaciones pueden utilizar herramientas de detección basadas en anomalías, como algunas soluciones de detección y respuesta de endpoints (EDR) y detección y respuesta de red (NDR) . Estas herramientas utilizan funciones de automatización inteligente, inteligencia artificial (IA) y machine learning (ML) para detectar amenazas nuevas y avanzadas casi en tiempo real y proporcionar una mayor protección de endpoints.
Un ataque de ransomware puede detectarse en sus primeras fases con una eliminación inusual de copias de seguridad o un proceso de cifrado que se inicia de repente sin previo aviso. Incluso antes de que se produzca un ataque, los sucesos anómalos pueden ser "señales de alerta temprana" de un hackeo inminente que el equipo de seguridad puede prevenir.
Las organizaciones pueden ayudar a reducir las superficies de ataque de su red al realizar evaluaciones frecuentes de vulnerabilidades y aplicar parches regularmente para cerrar las vulnerabilidades comúnmente explotadas.
Las herramientas de seguridad como el software antivirus, la orquestación, automatización y respuesta de seguridad (SOAR), la gestión de eventos e información de seguridad (SIEM) y la detección y respuesta ampliadas (XDR) también pueden ayudar a los equipos de seguridad a interceptar el ransomware más rápidamente.
Muestre a los empleados cómo reconocer y evitar los vectores comunes de ransomware, incluidos el phishing, la ingeniería social y los enlaces maliciosos.
La autenticación multifactor, la arquitectura zero trust y la segmentación de la red pueden ayudar a evitar que el ransomware llegue a datos confidenciales.
Las organizaciones pueden realizar copias de seguridad periódicas de datos confidenciales e imágenes del sistema, idealmente en unidades de disco duro u otros dispositivos que puedan desconectarse de la red.
En ocasiones, las organizaciones pueden ahorrarse el coste y el tiempo de la contención con la ayuda de las fuerzas del orden.
Las víctimas de ransomware que implicaron a las fuerzas del orden redujeron el coste de sus vulneraciones en una media de casi 1 millón de dólares, excluyendo el coste de cualquier rescate pagado, según el informe "Cost of a Data Breach" de IBM. Involucrar a las fuerzas de seguridad también ayudó a acortar el tiempo necesario para identificar y contener las vulneraciones de 297 a 281 días.
Gestione de forma proactiva sus riesgos de ciberseguridad casi en tiempo real para detectar, responder y minimizar el impacto de los ataques de ransomware.
FlashSystem utiliza modelos de machine learning para detectar anomalías como el ransomware en menos de un minuto, lo que ayuda a garantizar que su empresa esté protegida antes de un ciberataque.
IBM Storage Defender detecta las amenazas a tiempo y le ayuda a recuperar sus operaciones de forma rápida y segura en caso de ataque.
Empodérese aprendiendo de los desafíos y éxitos experimentados por equipos de seguridad de todo el mundo.
Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes.
Trabaje con arquitectos y asesores de seguridad sénior de IBM para priorizar sus iniciativas de ciberseguridad en una sesión de design thinking de 3 horas sin coste, virtual o en persona.
1El nuevo ransomware como servicio, "Eldorado", apunta a los sistemas Windows y Linux. The Hacker News. 8 de julio de 2024. (Enlace externo a ibm.com.)