El ransomware como servicio (RaaS) ha surgido como un modelo de negocio revolucionario en el que los hackers combinan las capacidades del ransomware tradicional con la accesibilidad de los servicios basados en la nube. Esta medida les ayudó a transformar la sofisticada extorsión digital en una economía basada en suscripciones, accesible para casi cualquier persona con intenciones maliciosas.

Históricamente, los ataques de ransomware fueron llevados a cabo principalmente por actores de amenazas técnicamente calificados que escribieron su propio malware, y lo distribuyeron a través de phishing o kits de explotación y negociaron directamente con la víctima. Pero en este modelo tradicional, había limitaciones, como escalabilidad limitada, exposición al riesgo y la necesidad de un amplio conjunto de habilidades. 

Luego, el modelo RaaS entró en escena. En este modelo, los desarrolladores de ransomware crean herramientas de malware sólidas y las arriendan a sus clientes o afiliados que llevan a cabo los ataques reales. Los desarrolladores reciben entre el 20 % y el 40 % de las ganancias, mientras que los afiliados se quedan con la parte restante.

Esto ha hecho que el delito cibernético sea más accesible, permitiendo a las personas con habilidades limitadas llevar a cabo ataques poderosos utilizando herramientas avanzadas. 

Cómo funciona el ransomware como servicio

RaaS es un modelo de negocio de ciberdelincuencia en el que hackers profesionales llamados desarrolladores crean y venden o arriendan herramientas de ransomware listas para usar a afiliados (otros delincuentes) que las utilizan para llevar a cabo ataques. Hay varias etapas, como se explica a continuación.

1. Desarrollo del malware 

El desarrollador u operador diseña la carga útil del ransomware. Las características suelen incluir:

  • Algoritmos de cifrado para bloquear los datos de las víctimas
  • Técnicas de autoeliminación
  • Métodos de evasión para eludir antivirus y EDR
  • Canales de comunicación integrados (como el comando y control basado en TOR)

Algunas familias sofisticadas incluso incluyen características modulares, como la propagación similar a un gusano, la evasión de sandbox y el cifrado de subprocesos múltiples. 

2. Alojamiento de la plataforma RaaS 

Una vez que se crea el malware, se empaqueta y se pone a disposición a través de mercados de darknet o foros privados. Estas plataformas se asemejan a sitios SaaS legítimos y sus características incluyen:

  • Paneles de usuario para rastrear infecciones
  • Portal de pagos y gestión de claves de descifrado 
  • Foros de soporte
  • Actualizaciones y despliegue de características 
  • Materiales de marketing para sus afiliados

Algunos grupos de RaaS incluso tienen portales de atención al cliente para ayudar a los afiliados a solucionar problemas de despliegue.

Según Crowdstrike, los kits de RaaS se anuncian en los mercados de la dark web e incluyen soporte 24/7, ofertas agrupadas, comentarios de usuarios, foros y otras características idénticas a las que ofrecen los proveedores SaaS legítimos.

3. Reclutamiento de afiliados 

Los afiliados suelen ser otros delincuentes cibernéticos que no son tan talentosos como los desarrolladores de ransomware, pero estos delincuentes pueden propagar ransomware a través de su acceso a redes reales.  

En las grandes operaciones de RaaS, el reclutamiento suele estar a cargo de gerentes afiliados o reclutadores. Una persona dedicada o un pequeño equipo encuentra, comprueba y integra afiliados. En operaciones de RaaS pequeñas o recién lanzadas, el reclutamiento generalmente lo realiza el propio desarrollador u operador.

El reclutamiento a menudo se realiza a través de múltiples fuentes, incluidas plataformas de mensajería privada como Telegram o Jabber, foros de la dark web o invitaciones para unirse a grupos privados.

Los desarrolladores pueden evaluar cuidadosamente a los afiliados antes de permitirles unirse al grupo. A cambio, los afiliados obtienen acceso al ransomware, la documentación y las herramientas. A veces se centran en el reclutamiento basado en la reputación. En raras ocasiones, los atacantes pueden usar anuncios de trabajo de TI falsos o plataformas independientes para reclutar personas sin saberlo o para probar sus habilidades.

4. Entrega de carga útil 

Los afiliados se encargan de la distribución del ransomware utilizando múltiples fuentes, entre las que se incluyen:

  • Correos electrónicos de phishing con archivos adjuntos maliciosos 
  • Publicidad maliciosa 
  • Sitios web comprometidos  
  • Explotar software sin parches o vulnerabilidades 
  • Agentes de acceso inicial (IAB) o intrusos iniciales (estos delincuentes venden puntos de entrada comprometidos a las redes)

En algunos casos, los afiliados también despliegan técnicas de doble extorsión en las que primero roban datos antes de cifrarlos y luego amenazan con publicarlos si la víctima no paga el rescate.  

5. Trato con la víctima para el pago 

Una vez que los sistemas están encriptados, el ransomware muestra un mensaje con instrucciones de pago. Estos delincuentes suelen exigir criptomonedas como Bitcoin. Proporcionan pasos detallados que incluyen cómo usar Tor y billeteras criptográficas en la propia nota de rescate.

A la víctima se le proporcionan los enlaces de los portales de negociación. Estos portales suelen estar alojados en TOR. Algunos grupos de RaaS automatizan estas conversaciones mediante chatbots, mientras que otros grupos ofrecen operadores humanos para manejar la negociación de precios. 

Estos grupos dividen claramente sus responsabilidades. Los afiliados son responsables de desplegar ransomware, entregar la nota de rescate, establecer la comunicación inicial y gestionar la negociación. El desarrollador principal o el equipo de desarrolladores proporciona el backend alojando portales, verificando pagos y distribuyendo las claves de descifrado.

6. Participación en las ganancias 

Cuando estos grupos logran extorsionar el dinero de la víctima, dividen el fondo según su acuerdo. La cantidad acordada va al desarrollador y el resto de la cantidad se quedará con el afiliado. 

Modelos de negocio de RaaS

Existen varios modelos bajo los cuales opera RaaS. Incluyen lo siguiente:

  • Afiliado/participación en las ganancias los afiliados no pagan ningún costo inicial, pero los desarrolladores toman una parte de cada rescate. Este es el modelo más común.
  • Por suscripción: los afiliados pagan una tarifa mensual para acceder al kit de ransomware y al soporte. 
  • Licencia única: una tarifa fija compra acceso ilimitado al malware, pero no soporte continuo.
  • Construcción personalizada: ransomware personalizado vendido a un solo comprador, a menudo para ataques de alto perfil o dirigidos.

Grupos de RaaS del mundo real 

Algunas de las bandas de ransomware más populares que operan bajo el modelo RaaS son:

  • REvil: este grupo había ofrecido paneles detallados para los afiliados y, a menudo, negociaba rescates en su nombre antes de disolverse.
  • DarkSide: este grupo es conocido por su marca profesional, declaraciones de relaciones públicas e incluso un código de conducta.
  • Conti: este grupo funcionó como una entidad corporativa, con nóminas, gerentes y revisiones de desempeño antes de disolverse.
  • LockBit: este grupo sigue activo, conocido por tácticas agresivas y sitios públicos de filtración.

Precauciones: cómo defendernos contra RaaS

Para mantenerse protegidas de RaaS, las empresas deben elegir una estrategia de defensa de múltiples capas, que incluya:

  1. Concientización del usuario: el phishing es el punto de entrada más común. La capacitación regular puede sensibilizar a los usuarios sobre los ataques cibernéticos. 
  2. Detección basada en comportamiento y heurística: todos los días, Raas lanza nuevos servicios.   Los indicadores de compromiso (IOC) pueden detectar la presencia de actividad maliciosa o evidencia de una violación de seguridad dentro de una red, sistema o endpoint. Cuando cada segundo cuenta durante un ataque de ransomware, las herramientas de ejecución de la detección y respuesta de endpoints (EDR)/XDR pueden detectar, contener y responder en tiempo real.
  3. Mapeo de firmas: cada familia de ransomware tiene firmas de comportamiento y características de carga útil distintas. El mapeo de esas firmas ayuda a crear defensas más específicas. Las empresas pueden actualizar periódicamente las fuentes de inteligencia de amenazas e integrarlas con las plataformas SIEM o SOAR. El marco MITRE ATT&CK o Threat Fox son muy buenos para este propósito. Los usuarios pueden optar por la suscripción a tendencias de malware Any.run para obtener informes periódicos y detallados sobre los principales tipos de malware, IOC o TTP. Los usuarios también pueden aprovechar su panel de control para ver información detallada sobre las familias de malware.
  4. Supervisión de la integridad de los archivos: si los usuarios realizan una supervisión de la integridad de los archivos, pueden detectar fácilmente cambios no autorizados en los archivos y directorios de un sistema. Recibirán alertas cuando se modifiquen, eliminen o agreguen archivos críticos (como configuraciones del sistema o archivos ejecutables). Esto ayuda a identificar señales de malware, puertas traseras o incluso amenazas de usuario interno de forma temprana.
  5. Aplicación de parches y actualizaciones: la aplicación regular de parches desempeña un papel clave en la defensa contra RaaS porque muchos afiliados de RaaS buscan software sin parches para obtener acceso.
  6. Detección y respuesta de endpoints (EDR): despliegue de EDR protege contra RaaS. EDR realiza análisis de comportamiento para detectar el ransomware en las primeras fases de ejecución.
  7. Arquitectura de confianza cero: al emplear una arquitectura de confianza cero, el movimiento lateral será limitado, incluso si un sistema está comprometido.
  8. Segmentación: segmentar la red ayuda a evitar el cifrado completo de la red al aislar los sistemas críticos en diferentes segmentos.
  9. Copias de seguridad sin conexión: las copias de seguridad sin conexión son inmunes a las infecciones, por lo que si las copias de seguridad en línea se ven comprometidas, los usuarios pueden restaurarlas de forma segura a partir de copias sin conexión.
  10. Cumplimiento: mantener el cumplimiento de endpoint reduce significativamente el riesgo que representa el ransomware como servicio (RaaS). Las empresas deben asegurarse de que los sistemas estén protegidos, sin vulnerabilidades, y actualizados con las últimas definiciones de antimalware.

El ransomware como servicio ha reducido las barreras de entrada al delito cibernético, permitiendo que incluso los atacantes poco calificados lancen campañas devastadoras. Con operaciones bien organizadas, redes de afiliados y modelos de participación en los beneficios, RaaS continúa evolucionando rápidamente. 

Para contrarrestar esta amenaza, las organizaciones deben adoptar una estrategia de defensa por capas que incluya educación del usuario, copias de seguridad periódicas, uso de EDR, inteligencia de amenazas y respuesta rápida a incidentes.
