¿Qué es el ransomware como servicio (RaaS)?

Los acuerdos de ransomware como servicio son populares entre los delincuentes cibernéticos. El ransomware sigue siendo una amenaza cibernética común, involucrada en el 20% de todos los incidentes de delitos cibernéticos según el IBM® X-Force® Threat Intelligence Index. Muchas de las cepas de ransomware más infames y devastadoras—tales como LockBit y BlackBasta—se propagan a través de las ventas de RaaS.

Es fácil entender la proliferación del modelo RaaS. Al subcontratar algunos de sus esfuerzos a proveedores de RaaS, los posibles hackers tienen una entrada más rápida y fácil en el delito cibernético. Incluso los actores de amenazas con experiencia técnica limitada ahora pueden iniciar ataques cibernéticos.

RaaS es mutuamente beneficioso. Los hackers pueden beneficiarse de la extorsión sin desarrollar su propio malware. Al mismo tiempo, los desarrolladores de ransomware pueden aumentar sus ganancias sin el esfuerzo de atacar redes y pueden beneficiarse de víctimas que de otro modo no localizaron.

RaaS funciona del mismo modo que los modelos de negocio legítimos de software como servicio (SaaS). Los desarrolladores de ransomware, también llamados operadores o grupos RaaS, asumen el trabajo de desarrollar y mantener herramientas e infraestructura de ransomware. Empaquetan sus herramientas y servicios en kits RaaS que venden a otros hackers, conocidos como afiliados de RaaS.

La mayoría de los operadores de RaaS emplean 1 de estos modelos de ingresos para vender sus kits:

• Suscripción mensual
• Tarifa única
• Programas de afiliados
• Participación en las utilidades

Los afiliados a RaaS pagan una tarifa recurrente, a veces de tan solo 40 dólares al mes, por el acceso a las herramientas contra el ransomware.

Los afiliados pagan una tarifa única para comprar el código de ransomware directamente.

Los afiliados pagan una tarifa mensual y comparten un pequeño porcentaje de cualquier pago de rescate que reciban con los operadores.

Los operadores no cobran nada por adelantado, pero se llevan una parte importante de cada rescate que recibe el afiliado, a menudo entre el 30 %–40 %.

Los kits de RaaS se anuncian en foros de la dark web en todo el ecosistema clandestino, y algunos operadores de ransomware reclutan activamente nuevos afiliados, invirtiendo millones de dólares en campañas de reclutamiento en la dark web.

Una vez que compraron un kit RaaS, los afiliados obtienen más que solo malware y claves de descifrado. A menudo reciben un nivel de servicio y soporte a la par que los proveedores legales de SaaS. Algunos de los operadores de RaaS más sofisticados ofrecen servicios tales como:

• Soporte técnico continuo.
• Acceso a foros privados donde los hackers pueden intercambiar consejos e información.
• Portales de procesamiento de pagos—porque la mayoría de los pagos de rescate se solicitan en criptomonedas imposibles de rastrear, como Bitcoin.
• Herramientas y soporte para escribir notas de rescate personalizadas o negociar demandas de rescate.

Todos los ataques de ransomware pueden tener consecuencias graves. Según el Informe del costo de una filtración de datos de IBM®, la filtración promedio de ransomware le cuesta a su víctima 4.91 millones de dólares. Pero los ataques de los afiliados de RaaS plantean desafíos adicionales para los profesionales de la ciberseguridad, incluyendo:

• Atribución difusa de ataques de ransomware
• Especialización de delincuentes cibernéticos
• Amenazas de ransomware más resilientes
• Nuevas tácticas de presión

Bajo el modelo RaaS, las personas que realizan ataques cibernéticos podrían no ser las mismas personas que desarrollaron el malware en uso. Además, diferentes grupos de piratería pueden estar utilizando el mismo ransomware. Los profesionales de la ciberseguridad podrían no ser capaces de atribuir definitivamente los ataques a ningún grupo o grupos específicos, lo que dificulta el perfilado y la captura de los operadores y afiliados de RaaS.

Al igual que la economía legítima, la economía del delito cibernético llevó a una división del trabajo. Los actores de amenazas ahora pueden especializar y refinar sus manualidades. Los desarrolladores pueden centrarse en escribir malware cada vez más poderoso, y los afiliados pueden centrarse en desarrollar métodos de ataque más eficaces.

Una tercera clase de delincuentes cibernéticos, llamada "brokers de acceso", se especializa en infiltrarse en redes y vender puntos de acceso a atacantes. La especialización permite a los hackers moverse más rápido y realizar más ataques. Según el X-Force Threat Intelligence Index, el tiempo promedio para preparar e iniciar un ataque de ransomware se redujo de más de 60 días en 2019 a 3.84 días en la actualidad.

RaaS permite a los operadores y afiliados compartir el riesgo, lo que hace que cada uno sea más resistente. La captura de afiliados no cierra a los operadores y los afiliados pueden cambiar a otro kit de ransomware si un operador es capturado. También se sabe que los hackers reorganizan y renombran sus actividades para evadir a las autoridades.

Por ejemplo, después de que la Oficina de Control de Activos Extranjeros (OFAC) de Estados Unidos sancionara al grupo de ransomware Evil Corp, las víctimas dejaron de pagar los rescates para evitar sanciones de la OFAC. En respuesta, Evil Corp cambió el nombre de su ransomware para seguir recibiendo los pagos.

Los delincuentes cibernéticos que utilizan ataques RaaS han descubierto que a menudo pueden exigir pagos de rescate más altos y más rápidos si no encriptan los datos de la víctima. El paso adicional de restaurar los sistemas puede ralentizar los pagos. Además, más organizaciones mejoraron sus estrategias de copia de seguridad y recuperación, haciendo que el cifrado sea menos dañino para ellas.

En cambio, los delincuentes cibernéticos atacan a las organizaciones con grandes almacenes de información de identificación personal (PII)confidencial—tales como los proveedores de atención médica—y amenazan con filtrar esa información confidencial. Las víctimas a menudo pagan un rescate en lugar de sufrir la vergüenza—y las posibles repercusiones legales—de una filtración.

Puede ser difícil precisar qué bandas son responsables de qué ransomware o qué operadores iniciaron un ataque. Dicho esto, los profesionales de ciberseguridad han identificado algunos de los principales operadores de RaaS a lo largo de los años, incluyendo:

• Tox
• LockBit
• DarkSide
• REvil/Sodinokibi
• Ryuk
• Hive
• Black Basta
• CL0P
• Eldorado

Identificado por primera vez en 2015, Tox es considerado por muchos como el primer RaaS.

LockBit es una de las variantes de RaaS más generalizadas, según el X-Force Threat Intelligence Index. LockBit a menudo se propaga a través de correos electrónicos de  phishing. Particularmente, la pandilla detrás de LockBit trató de reclutar afiliados empleados por sus víctimas objetivo, lo que facilita la infiltración.

La variante ransomware de DarkSide se utilizó en el ataque de 2021 contra el oleoducto colonial estadounidense, considerado el peor ciberataque a la infraestructura crítica de Estados Unidos hasta la fecha. DarkSide cerró en 2021, pero sus desarrolladores lanzaron un kit RaaS sucesor llamado BlackMatter.

REvil, también conocido como Sodin o Sodinokibi, produjo el ransomware detrás de los ataques de 2021 contra JBS USA y Kaseya Limited. En su apogeo, REvil fue una de las variantes de ransomware más extendidas. El Servicio Federal de Seguridad de Rusia cerró REvil y acusó a varios miembros clave a principios de 2022.

Antes de cerrar en 2021, Ryuk era una de las mayores operaciones de RaaS. Los desarrolladores detrás de Ryuk lanzaron Conti, otra variante importante de RaaS, que se utilizó en un ataque contra el gobierno de Costa Rica en 2022.

Hive saltó a la fama en 2022 luego de un ataque a Microsoft Exchange Server. Los afiliados de Hive eran una amenaza significativa para las empresas financieras y las organizaciones de atención médica hasta que el FBI eliminó al operador.

Al llegar como una amenaza en 2022, Black Basta se cobró rápidamente más de 100 víctimas en Norteamérica, Europa y Asia. Mediante ataques dirigidos, los hackers exigirían una doble extorsión: tanto para descifrar los datos de la víctima como con la amenaza de divulgar información confidencial al público.

En 2023, el grupo de ransomware CL0P aprovechó una vulnerabilidad en la aplicación de transferencia de archivos MOVEit para exponer información sobre millones de personas.

Eldorado RaaS se anunció a principios de 2024 en un anuncio en un foro de ransomware. En tres meses, 16 víctimas ya fueron atacadas en Estados Unidos y Europa.¹

Aunque RaaS ha cambiado el panorama de las amenazas, muchas de las prácticas estándar para la protección contra el ransomware pueden seguir siendo eficaces para combatir los ataques RaaS.

Muchos afiliados de RaaS son menos expertos técnicamente que los atacantes de ransomware anteriores. Colocar suficientes obstáculos entre los hackers y los activos de la red podría desalentar por completo a algunos ataques de RaaS. Algunas tácticas de ciberseguridad que podrían ser útiles:

• Planes integrales de respuesta a incidentes
• Herramientas de detección basadas en anomalías
• Reducir la superficie de ataque de la red
• Capacitación sobre ciberseguridad
• Implementación de controles de acceso
• Mantenimiento de copias de seguridad
• Trabajar con las fuerzas del orden

La planeación de la respuesta a incidentes puede ser particularmente útil para los ataques RaaS. Debido a que la atribución de ataques puede ser difícil de determinar, los equipos de respuesta a incidentes no pueden contar con que los ataques de ransomware siempre utilicen las mismas tácticas, técnicas y procedimientos (TTPs).

Además, cuando los respondedores a incidentes echan a los afiliados de RaS, los corredores de acceso podrían seguir activos en sus redes. La caza proactiva de amenazas y las investigaciones exhaustivas de incidentes pueden ayudar a los equipos de seguridad a eliminar estas amenazas evasivas.

Para identificar los ataques de ransomware en curso, las organizaciones pueden emplear herramientas de detección basadas en anomalías, como algunas soluciones de detección y respuesta de endpoints (EDR) y detección y respuesta de redes (NDR). Estas herramientas emplean funciones de automatización inteligente, inteligencia artificial (IA) y machine learning (ML) para detectar amenazas nuevas y avanzadas casi en tiempo real y proporcionar una mayor protección de endpoints.

Un ataque de ransomware podría detectarse en sus primeras fases con una eliminación inusual de copias de seguridad o un proceso de cifrado que se inicia de repente sin previo aviso. Incluso antes de un ataque, los eventos anómalos podrían ser las “señales de alerta temprana” de un ataque inminente que el equipo de seguridad puede prevenir.

Las organizaciones pueden ayudar a reducir las superficies de ataque de su red realizando evaluaciones frecuentes de vulnerabilidades y aplicando parches de manera regular para cerrar las vulnerabilidades comúnmente explotadas.

Las herramientas de seguridad tales como el software antivirus, la orquestación, automatización y respuesta de seguridad (SOAR),  la gestión de eventos e información de seguridad (SIEM) y la detección y respuesta extendidas (XDR), también pueden ayudar a los equipos de seguridad a interceptar el ransomware más rápido.

Muestre a los empleados cómo reconocer y evitar los vectores comunes de ransomware, incluyendo el phishing, la ingeniería social y los enlaces maliciosos.

La autenticación multifactor, la arquitectura de confianza cero y la segmentación de la red pueden ayudar a evitar que el ransomware llegue a datos confidenciales.

Las organizaciones pueden hacer copias de seguridad periódicas de datos confidenciales e imágenes del sistema, idealmente en unidades de disco duro u otros dispositivos que puedan desconectarse de la red.

Las organizaciones a veces pueden ahorrar en el costo y el tiempo de contención con la ayuda de las fuerzas del orden.

Las víctimas de ransomware que involucraron a las fuerzas del orden público redujeron el costo de sus filtraciones en un promedio de casi 1 millón de dólares, excluyendo el costo de cualquier rescate pagado, según el Informe del costo de una filtración de datos de IBM. La participación de las autoridades también ayudó a acortar el tiempo necesario para identificar y contener las filtraciones de 297 a 281 días.