El ransomware como servicio (RaaS) ha surgido como un modelo de negocio revolucionario en el que los hackers combinan las capacidades del ransomware tradicional con la accesibilidad de los servicios basados en la nube. Esta medida les ayudó a transformar la sofisticada extorsión digital en una economía basada en suscripciones, accesible para casi cualquier persona con intenciones maliciosas.
Históricamente, los ataques de ransomware fueron llevados a cabo principalmente por actores de amenazas técnicamente calificados que escribieron su propio malware, y lo distribuyeron a través de phishing o kits de explotación y negociaron directamente con la víctima. Pero en este modelo tradicional, había limitaciones, como escalabilidad limitada, exposición al riesgo y la necesidad de un amplio conjunto de habilidades.
Luego, el modelo RaaS entró en escena. En este modelo, los desarrolladores de ransomware crean herramientas de malware sólidas y las arriendan a sus clientes o afiliados que llevan a cabo los ataques reales. Los desarrolladores reciben entre el 20 % y el 40 % de las ganancias, mientras que los afiliados se quedan con la parte restante.
Esto ha hecho que el delito cibernético sea más accesible, permitiendo a las personas con habilidades limitadas llevar a cabo ataques poderosos utilizando herramientas avanzadas.
RaaS es un modelo de negocio de ciberdelincuencia en el que hackers profesionales llamados desarrolladores crean y venden o arriendan herramientas de ransomware listas para usar a afiliados (otros delincuentes) que las utilizan para llevar a cabo ataques. Hay varias etapas, como se explica a continuación.
El desarrollador u operador diseña la carga útil del ransomware. Las características suelen incluir:
Algunas familias sofisticadas incluso incluyen características modulares, como la propagación similar a un gusano, la evasión de sandbox y el cifrado de subprocesos múltiples.
Una vez que se crea el malware, se empaqueta y se pone a disposición a través de mercados de darknet o foros privados. Estas plataformas se asemejan a sitios SaaS legítimos y sus características incluyen:
Algunos grupos de RaaS incluso tienen portales de atención al cliente para ayudar a los afiliados a solucionar problemas de despliegue.
Según Crowdstrike, los kits de RaaS se anuncian en los mercados de la dark web e incluyen soporte 24/7, ofertas agrupadas, comentarios de usuarios, foros y otras características idénticas a las que ofrecen los proveedores SaaS legítimos.
Los afiliados suelen ser otros delincuentes cibernéticos que no son tan talentosos como los desarrolladores de ransomware, pero estos delincuentes pueden propagar ransomware a través de su acceso a redes reales.
En las grandes operaciones de RaaS, el reclutamiento suele estar a cargo de gerentes afiliados o reclutadores. Una persona dedicada o un pequeño equipo encuentra, comprueba y integra afiliados. En operaciones de RaaS pequeñas o recién lanzadas, el reclutamiento generalmente lo realiza el propio desarrollador u operador.
El reclutamiento a menudo se realiza a través de múltiples fuentes, incluidas plataformas de mensajería privada como Telegram o Jabber, foros de la dark web o invitaciones para unirse a grupos privados.
Los desarrolladores pueden evaluar cuidadosamente a los afiliados antes de permitirles unirse al grupo. A cambio, los afiliados obtienen acceso al ransomware, la documentación y las herramientas. A veces se centran en el reclutamiento basado en la reputación. En raras ocasiones, los atacantes pueden usar anuncios de trabajo de TI falsos o plataformas independientes para reclutar personas sin saberlo o para probar sus habilidades.
Los afiliados se encargan de la distribución del ransomware utilizando múltiples fuentes, entre las que se incluyen:
En algunos casos, los afiliados también despliegan técnicas de doble extorsión en las que primero roban datos antes de cifrarlos y luego amenazan con publicarlos si la víctima no paga el rescate.
Una vez que los sistemas están encriptados, el ransomware muestra un mensaje con instrucciones de pago. Estos delincuentes suelen exigir criptomonedas como Bitcoin. Proporcionan pasos detallados que incluyen cómo usar Tor y billeteras criptográficas en la propia nota de rescate.
A la víctima se le proporcionan los enlaces de los portales de negociación. Estos portales suelen estar alojados en TOR. Algunos grupos de RaaS automatizan estas conversaciones mediante chatbots, mientras que otros grupos ofrecen operadores humanos para manejar la negociación de precios.
Estos grupos dividen claramente sus responsabilidades. Los afiliados son responsables de desplegar ransomware, entregar la nota de rescate, establecer la comunicación inicial y gestionar la negociación. El desarrollador principal o el equipo de desarrolladores proporciona el backend alojando portales, verificando pagos y distribuyendo las claves de descifrado.
Cuando estos grupos logran extorsionar el dinero de la víctima, dividen el fondo según su acuerdo. La cantidad acordada va al desarrollador y el resto de la cantidad se quedará con el afiliado.
Existen varios modelos bajo los cuales opera RaaS. Incluyen lo siguiente:
Algunas de las bandas de ransomware más populares que operan bajo el modelo RaaS son:
Para mantenerse protegidas de RaaS, las empresas deben elegir una estrategia de defensa de múltiples capas, que incluya:
El ransomware como servicio ha reducido las barreras de entrada al delito cibernético, permitiendo que incluso los atacantes poco calificados lancen campañas devastadoras. Con operaciones bien organizadas, redes de afiliados y modelos de participación en los beneficios, RaaS continúa evolucionando rápidamente.
Para contrarrestar esta amenaza, las organizaciones deben adoptar una estrategia de defensa por capas que incluya educación del usuario, copias de seguridad periódicas, uso de EDR, inteligencia de amenazas y respuesta rápida a incidentes.
