¿Qué es el ransomware como servicio (RaaS)?
RaaS es un modelo de negocio de cibercrimen donde los desarrolladores de ransomware venden su malware a otros hackers. 
Suscríbase al boletín de IBM Explore IBM Security QRadar
Dibujo isométrico que muestra a personal de oficina diferente utilizando IBM Security
¿Qué es el ransomware como servicio?

El ransomware como servicio (RaaS) es un modelo de negocio de cibercrimen en el que un grupo de ransomware vende su código de ransomware a otros hackers, que luego lo utilizan para realizar sus propios ataques de ransomware.

Según el X-Force Threat Intelligence Index de IBM, el ransomware fue el segundo tipo más común de ciberataque en 2022. Muchos expertos creen que el auge de RaaS ha contribuido a que el ransomware siga siendo tan frecuente. Un informe de 2022 de Zscaler (enlace externo a ibm.com) encontró que 8 de las 11 variantes de ransomware más activas eran variantes RaaS.

Es fácil entender por qué el modelo RaaS es tan popular con los delincuentes cibernéticos. RaAS baja el listón de entrada al cibercrimen, permitiendo incluso a los actores de amenazas con habilidades técnicas limitadas llevar a cabo ciberataques. Además, RaaS es mutuamente beneficioso: los hackers pueden beneficiarse de la extorsión sin desarrollar su propio malware, y los desarrolladores de ransomware pueden aumentar sus ganancias sin atacar manualmente las redes.

Cómo funciona el modelo RaaS

RaaS funciona de la misma manera que lo hacen los modelos de negocio legítimos de software como servicio (SaaS). Los desarrolladores de ransomware, también llamados operadores RaaS, asumen el trabajo de desarrollar y mantener herramientas e infraestructura de ransomware. Empaquetan sus herramientas y servicios en kits RaaS que venden a otros hackers, llamados afiliados de RaaS. 

La mayoría de los operadores utilizan uno de los siguientes modelos de ingresos para vender sus kits:

  • Suscripción mensual: los afiliados de RaaS pagan un pago recurrente a veces tan solo de 40 USD por mes para acceder a las herramientas de ransomware.

  • Tarifa única: los afiliados pagan una tarifa única para comprar código de ransomware directamente.

  • Modelos de afiliados: Los afiliados pagan una tarifa mensual y comparten un pequeño porcentaje de los pagos de rescate que reciben con los operadores.

  • Reparto en las ganancias: Los operadores no cobran nada por adelantado pero toman un recorte significativo de cada rescate que recibe el afiliado, a menudo del 30 al 40 %. 

Los kits de RaaS se anuncian en foros web oscuros, y algunos operadores de ransomware reclutan activamente nuevos afiliados. El grupo REvil, por ejemplo, gastó 1 millón de dólares como parte de un gran impulso de reclutamiento en octubre de 2020 (enlace externo a ibm.com).

Una vez que han adquirido un kit, los afiliados obtienen algo más que malware y claves de descifrado: a menudo reciben un nivel de servicio y asistencia equiparable al de los vendedores legales de SaaS. Algunos de los operadores de RaS más sofisticados pueden ofrecer comodidades como soporte técnico continuo, acceso a foros privados donde los piratas informáticos pueden intercambiar consejos e información, portales de procesamiento de pagos (ya que la mayoría de los pagos de rescate se solicitan en criptomonedas no rastreables como Bitcoin) e incluso herramientas y soporte para escribir notas de rescate personalizadas o negociar demandas de rescate.

Desafíos de ciberseguridad de los ataques RaaS

Si bien el potencial de ganancias es un factor importante en la proliferación de RaaS, los programas afiliados también proporcionan a hackers y desarrolladores de ransomware beneficios adicionales y presentan desafíos adicionales a los profesionales de la ciberseguridad

Atribución difusa de incidentes de ransomware. Bajo el modelo RaaS, las personas que realizan ciberataques pueden no ser las mismas personas que desarrollaron el malware en uso. Además, diferentes grupos de piratería pueden estar utilizando el mismo ransomware. Los profesionales de la ciberseguridad pueden no ser capaces de atribuir definitivamente los ataques a grupos específicos, lo que hace más difícil perfilar y atrapar a los operadores y afiliados de RaaS. 

Especialización de ciberdelincuentes. Al igual que la economía legítima, la economía del cibercrimen ha llevado a una división de trabajo. Los actores de amenazas ahora pueden especializar y refinar sus manualidades. Los desarrolladores pueden centrarse en crear malware cada vez más potente, y los afiliados pueden centrarse en desarrollar métodos de ataque más efectivos. Una tercera clase de delincuentes cibernéticos, denominada "brokers de acceso", se especializa en infiltrarse en redes y vender puntos de acceso a los atacantes. La especialización permite a los hackers moverse más rápido y llevar a cabo más ataques. Según el X-Force Threat Intelligence Index, el tiempo promedio para ejecutar un ataque de ransomware cayó de más de 60 días en 2019 a 3.85 días en 2022. 

Amenazas de ransomware más resilientes. RaAS permite a los operadores y afiliados compartir el riesgo, haciendo que cada uno sea más resiliente. La captura de afiliados no cierra a los operadores, y los afiliados pueden cambiar a otro kit de ransomware si un operador es atrapado. También se sabe que los hackers reorganizan y renombran sus actividades para evadir a las autoridades. Por ejemplo, después de que la Oficina de Control de Activos Extranjeros (OFAC) de Estados Unidos sancionara a la banda de ransomware Evil Corp, las víctimas dejaron de pagar los resaltos para evitar sanciones de la OFAC. En respuesta, Evil Corp cambió el nombre de su ransomware varias veces (enlace externo a ibm.com) para que los pagos siguieran llegando. 

Variantes destacadas de RaaS

Puede ser difícil precisar qué pandillas son responsables de qué ransomware o qué operadores están oficialmente activos en un momento dado. Dicho esto, los profesionales de ciberseguridad han identificado algunos de los principales operadores de RaaS a lo largo de los años, incluyendo:

  • Tox: identificado por primera vez en 2015, muchos consideran que Tox es el primer RaaS.
  • LockBit: LockBit es una de las variantes RaaS más generalizadas en la actualidad, que representa el 17 % de los incidentes de ransomware observados en 2022, más que cualquier otra cepa. LockBit a menudo se propaga a través de correos electrónicos de phishing. En particular, la pandilla detrás de LockBit ha intentado reclutar afiliados que trabajan para sus víctimas objetivo, lo que facilita la infiltración. 
  • DarkSide: La variante de ransomware de DarkSide se utilizó en el ataque de 2021 al oleoducto colonial de los Estados Unidos, considerado el peor ataque cibernético a la infraestructura crítica de los Estados Unidos hasta la fecha. DarkSide cerró en 2021, pero sus desarrolladores lanzaron un kit RaaS sucesor llamado BlackMatter.
  • REvil/Sodinokibi: REvil, también conocido como Sodin o Sodinokibi, produjo el ransomware detrás de los ataques de 2021 contra JBS USA y Kaseya Limited. A su altura, REvil fue una de las variantes de ransomware más generalizadas, teniendo en cuenta el 37 % de los ataques de ransomware en 2021. El Servicio de seguridad federal ruso cerró REvil y cobró a varios miembros clave a principios de 2022, pero la infraestructura RaaS de la banda volvió a aparecer en abril de 2022 (enlace externo a ibm.com)
  • Ryuk: Antes de cerrar en 2021, Ryuk fue una de las operaciones RaaS más grandes. Los desarrolladores detrás de Ryuk lanzaron Conti, otra variante RaaS importante, que se utilizó en un ataque contra el gobierno costarricense en 2022 (enlace externo a ibm.com).
  • Hive: Hive saltó a la fama en 2022 después de un ataque a Microsoft Exchange Server. Las filiales de Hive fueron una amenaza significativa para las empresas financieras y las organizaciones de atención médica hasta que el FBI tomó el operador en 2023 (enlace externo a ibm.com). 
Protección contra RaaS

Aunque RaaS ha cambiado el panorama de las amenazas, muchas de las prácticas estándar para la protección contra el ransomware pueden seguir siendo eficaces para combatir los ataques RaaS. Muchos afiliados a RaaS son menos hábiles técnicamente que los atacantes de ransomware de ayer. Colocar suficientes obstáculos entre los hackers y los activos de la red puede disuadir por completo a algunos ataques de RaS. Otras tácticas de ciberseguridad pueden incluir: 

Soluciones relacionadas
IBM Security® QRadar® SIEM

Detecte amenazas avanzadas que otros simplemente pasan por alto. QRadar SIEM aprovecha el análisis y la inteligencia artificial para monitorear la información sobre amenazas, la red y las anomalías del comportamiento del usuario y para priorizar dónde se necesita atención y remediación inmediata.

Conozca las soluciones SIEM de QRadar

IBM Security QRadar EDR

Proteja los puntos finales de los ciberataques, detecte comportamientos anómalos y corríjalos casi en tiempo real con esta solución de detección y respuesta de puntos finales (EDR) sofisticada pero fácil de usar.

Explore QRadar EDR

Soluciones de protección contra el ransomware

Impida que el ransomware interrumpa la continuidad del negocio y recupere rápidamente cuando se producen ataques, con un enfoque de confianza cero que le ayuda a detectar y responder al ransomware más rápido y minimizar el impacto de los ataques de ransomware.

Explore las soluciones de protección contra ransomware
Recursos X-Force® Threat Intelligence Index

Obtenga información práctica que le ayudará a comprender cómo los actores de amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.

La guía definitiva del ransomware

Conozca los pasos críticos para proteger su negocio antes de que un ataque de ransomware pueda penetrar sus defensas y para lograr una recuperación óptima si los adversarios violan el perímetro.

Coste de una filtración de datos

En su 17ª edición, este informe comparte los últimos datos sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.

Taller IBM Security Framing and Discovery

Trabaje con arquitectos y consultores de seguridad senior de IBM para priorizar sus iniciativas de ciberseguridad en una sesión de pensamiento de diseño de 3 horas sin costo, virtual o en persona.

Ciudadanos más seguros, comunidades más fuertes

Los Ángeles se asocia con IBM Security para crear el primer grupo de intercambio de ciberamenazas para protegerse de la ciberdelincuencia.

¿Qué es SIEM?

La gestión de eventos e información de seguridad (SIEM) ofrece monitoreo y análisis en tiempo real de eventos, así como seguimiento y registro de datos de seguridad para fines de cumplimiento o auditoría.

Dé el siguiente paso

Las amenazas de ciberseguridad son cada vez más avanzadas y persistentes, y exigen un mayor esfuerzo por parte de los analistas de seguridad para examinar innumerables alertas e incidentes. IBM Security QRadar SIEM facilita la remediación de amenazas más rápido mientras mantiene sus datos de fondo. QRadar SIEM prioriza las alertas de alta fidelidad para ayudarlo a detectar amenazas que otros simplemente pierden.

Más información sobre el SIEM QRadar Solicite una demostración de QRadar SIEM