El ransomware como servicio (RaaS) es un modelo de negocio de cibercrimen en el que un grupo de ransomware vende su código de ransomware a otros hackers, que luego lo utilizan para realizar sus propios ataques de ransomware.
Según el X-Force Threat Intelligence Index de IBM, el ransomware fue el segundo tipo más común de ciberataque en 2022. Muchos expertos creen que el auge de RaaS ha contribuido a que el ransomware siga siendo tan frecuente. Un informe de 2022 de Zscaler (enlace externo a ibm.com) encontró que 8 de las 11 variantes de ransomware más activas eran variantes RaaS.
Es fácil entender por qué el modelo RaaS es tan popular con los delincuentes cibernéticos. RaAS baja el listón de entrada al cibercrimen, permitiendo incluso a los actores de amenazas con habilidades técnicas limitadas llevar a cabo ciberataques. Además, RaaS es mutuamente beneficioso: los hackers pueden beneficiarse de la extorsión sin desarrollar su propio malware, y los desarrolladores de ransomware pueden aumentar sus ganancias sin atacar manualmente las redes.
RaaS funciona de la misma manera que lo hacen los modelos de negocio legítimos de software como servicio (SaaS). Los desarrolladores de ransomware, también llamados operadores RaaS, asumen el trabajo de desarrollar y mantener herramientas e infraestructura de ransomware. Empaquetan sus herramientas y servicios en kits RaaS que venden a otros hackers, llamados afiliados de RaaS.
La mayoría de los operadores utilizan uno de los siguientes modelos de ingresos para vender sus kits:
Los kits de RaaS se anuncian en foros web oscuros, y algunos operadores de ransomware reclutan activamente nuevos afiliados. El grupo REvil, por ejemplo, gastó 1 millón de dólares como parte de un gran impulso de reclutamiento en octubre de 2020 (enlace externo a ibm.com).
Una vez que han adquirido un kit, los afiliados obtienen algo más que malware y claves de descifrado: a menudo reciben un nivel de servicio y asistencia equiparable al de los vendedores legales de SaaS. Algunos de los operadores de RaS más sofisticados pueden ofrecer comodidades como soporte técnico continuo, acceso a foros privados donde los piratas informáticos pueden intercambiar consejos e información, portales de procesamiento de pagos (ya que la mayoría de los pagos de rescate se solicitan en criptomonedas no rastreables como Bitcoin) e incluso herramientas y soporte para escribir notas de rescate personalizadas o negociar demandas de rescate.
Si bien el potencial de ganancias es un factor importante en la proliferación de RaaS, los programas afiliados también proporcionan a hackers y desarrolladores de ransomware beneficios adicionales y presentan desafíos adicionales a los profesionales de la ciberseguridad.
Atribución difusa de incidentes de ransomware. Bajo el modelo RaaS, las personas que realizan ciberataques pueden no ser las mismas personas que desarrollaron el malware en uso. Además, diferentes grupos de piratería pueden estar utilizando el mismo ransomware. Los profesionales de la ciberseguridad pueden no ser capaces de atribuir definitivamente los ataques a grupos específicos, lo que hace más difícil perfilar y atrapar a los operadores y afiliados de RaaS.
Especialización de ciberdelincuentes. Al igual que la economía legítima, la economía del cibercrimen ha llevado a una división de trabajo. Los actores de amenazas ahora pueden especializar y refinar sus manualidades. Los desarrolladores pueden centrarse en crear malware cada vez más potente, y los afiliados pueden centrarse en desarrollar métodos de ataque más efectivos. Una tercera clase de delincuentes cibernéticos, denominada "brokers de acceso", se especializa en infiltrarse en redes y vender puntos de acceso a los atacantes. La especialización permite a los hackers moverse más rápido y llevar a cabo más ataques. Según el X-Force Threat Intelligence Index, el tiempo promedio para ejecutar un ataque de ransomware cayó de más de 60 días en 2019 a 3.85 días en 2022.
Amenazas de ransomware más resilientes. RaAS permite a los operadores y afiliados compartir el riesgo, haciendo que cada uno sea más resiliente. La captura de afiliados no cierra a los operadores, y los afiliados pueden cambiar a otro kit de ransomware si un operador es atrapado. También se sabe que los hackers reorganizan y renombran sus actividades para evadir a las autoridades. Por ejemplo, después de que la Oficina de Control de Activos Extranjeros (OFAC) de Estados Unidos sancionara a la banda de ransomware Evil Corp, las víctimas dejaron de pagar los resaltos para evitar sanciones de la OFAC. En respuesta, Evil Corp cambió el nombre de su ransomware varias veces (enlace externo a ibm.com) para que los pagos siguieran llegando.
Puede ser difícil precisar qué pandillas son responsables de qué ransomware o qué operadores están oficialmente activos en un momento dado. Dicho esto, los profesionales de ciberseguridad han identificado algunos de los principales operadores de RaaS a lo largo de los años, incluyendo:
Aunque RaaS ha cambiado el panorama de las amenazas, muchas de las prácticas estándar para la protección contra el ransomware pueden seguir siendo eficaces para combatir los ataques RaaS. Muchos afiliados a RaaS son menos hábiles técnicamente que los atacantes de ransomware de ayer. Colocar suficientes obstáculos entre los hackers y los activos de la red puede disuadir por completo a algunos ataques de RaS. Otras tácticas de ciberseguridad pueden incluir:
Detecte amenazas avanzadas que otros simplemente pasan por alto. QRadar SIEM aprovecha el análisis y la inteligencia artificial para monitorear la información sobre amenazas, la red y las anomalías del comportamiento del usuario y para priorizar dónde se necesita atención y remediación inmediata.
Proteja los puntos finales de los ciberataques, detecte comportamientos anómalos y corríjalos casi en tiempo real con esta solución de detección y respuesta de puntos finales (EDR) sofisticada pero fácil de usar.
Impida que el ransomware interrumpa la continuidad del negocio y recupere rápidamente cuando se producen ataques, con un enfoque de confianza cero que le ayuda a detectar y responder al ransomware más rápido y minimizar el impacto de los ataques de ransomware.