¿Qué es el ransomware como servicio (RaaS)?

Explore la solución RaaS de IBM Suscribirse al boletín de Think
Ilustración que muestra un collage de pictogramas de nubes, huellas dactilares y teléfonos móviles

Actualizado: 5 de septiembre de 2024
Colaboradores: Jim Holdsworth, Matthew Kosinski
¿Qué es el ransomware como servicio (RaaS)?

El ransomware como servicio (RaaS) es un modelo de negocio de delincuencia cibernética en el que los desarrolladores de ransomware venden código de ransomware o malware a otros hackers, llamados "afiliados", que luego emplean el código para iniciar sus propios ataques de ransomware.

Los acuerdos de ransomware como servicio son populares entre los delincuentes cibernéticos. El ransomware sigue siendo una amenaza cibernética común, involucrada en el 20% de todos los incidentes de delitos cibernéticos según el IBM® X-Force® Threat Intelligence Index. Muchas de las cepas de ransomware más infames y devastadoras—tales como LockBit y BlackBasta—se propagan a través de las ventas de RaaS.

Es fácil entender la proliferación del modelo RaaS. Al subcontratar algunos de sus esfuerzos a proveedores de RaaS, los posibles hackers tienen una entrada más rápida y fácil en el delito cibernético. Incluso los actores de amenazas con experiencia técnica limitada ahora pueden iniciar ataques cibernéticos.

RaaS es mutuamente beneficioso. Los hackers pueden beneficiarse de la extorsión sin desarrollar su propio malware. Al mismo tiempo, los desarrolladores de ransomware pueden aumentar sus ganancias sin el esfuerzo de atacar redes y pueden beneficiarse de víctimas que de otro modo no localizaron.
¿Cómo funciona el ransomware como servicio?

RaaS funciona del mismo modo que los modelos de negocio legítimos de software como servicio (SaaS). Los desarrolladores de ransomware, también llamados operadores o grupos RaaS, asumen el trabajo de desarrollar y mantener herramientas e infraestructura de ransomware. Empaquetan sus herramientas y servicios en kits RaaS que venden a otros hackers, conocidos como afiliados de RaaS.

La mayoría de los operadores de RaaS emplean 1 de estos modelos de ingresos para vender sus kits:

  • Suscripción mensual
  • Tarifa única
  • Programas de afiliados
  • Participación en las utilidades

Suscripción mensual


Los afiliados de RaaS pagan una tarifa recurrente—algunas veces tan solo de 40 dólares por mes—para acceder a las herramientas de ransomware.

Tarifa única


Los afiliados pagan una tarifa única para comprar el código de ransomware directamente.

Programas de afiliados


Los afiliados pagan una cuota mensual y comparten un pequeño porcentaje de cualquier pago de rescate que reciban con los operadores.

Participación en las utilidades


Los operadores no cobran nada por adelantado, pero toman un recorte significativo de cada rescate que recibe el afiliado, a menudo del 30–40%.

 Los kits de RaaS se anuncian en foros de la dark web en todo el ecosistema clandestino‌, y algunos operadores de ransomware reclutan activamente nuevos afiliados, invirtiendo millones de dólares en campañas de reclutamiento en la dark web.

Una vez que compraron un kit RaaS, los afiliados obtienen más que solo malware y claves de descifrado. A menudo reciben un nivel de servicio y soporte a la par que los proveedores legales de SaaS. Algunos de los operadores de RaaS más sofisticados ofrecen servicios tales como:

  • Soporte técnico continuo.
  • Acceso a foros privados donde los hackers pueden intercambiar consejos e información.
  • Portales de procesamiento de pagos—porque la mayoría de los pagos de rescate se solicitan en criptomonedas imposibles de rastrear, como Bitcoin.
  • Herramientas y soporte para escribir notas de rescate personalizadas o negociar demandas de rescate.
Desafíos de ciberseguridad de los ataques RaaS

Todos los ataques de ransomware pueden tener consecuencias graves. Según el Informe del costo de una filtración de datos de IBM®, la filtración promedio de ransomware le cuesta a su víctima 4.91 millones de dólares. Pero los ataques de los afiliados de RaaS plantean desafíos adicionales para los profesionales de la ciberseguridad, incluyendo:

  • Atribución difusa de ataques de ransomware
  • Especialización de delincuentes cibernéticos
  • Amenazas de ransomware más resilientes
  • Nuevas tácticas de presión

Atribución difusa de ataques de ransomware


Bajo el modelo RaaS, las personas que realizan ataques cibernéticos podrían no ser las mismas personas que desarrollaron el malware en uso. Además, diferentes grupos de piratería pueden estar utilizando el mismo ransomware. Los profesionales de la ciberseguridad podrían no ser capaces de atribuir definitivamente los ataques a ningún grupo o grupos específicos, lo que dificulta el perfilado y la captura de los operadores y afiliados de RaaS. 

Especialización de delincuentes cibernéticos


Al igual que la economía legítima, la economía del delito cibernético llevó a una división del trabajo. Los actores de amenazas ahora pueden especializar y refinar sus manualidades. Los desarrolladores pueden centrarse en escribir malware cada vez más poderoso, y los afiliados pueden centrarse en desarrollar métodos de ataque más eficaces.

Una tercera clase de delincuentes cibernéticos, llamada "brokers de acceso", se especializa en infiltrarse en redes y vender puntos de acceso a atacantes. La especialización permite a los hackers moverse más rápido y realizar más ataques. Según el X-Force Threat Intelligence Index, el tiempo promedio para preparar e iniciar un ataque de ransomware se redujo de más de 60 días en 2019 a 3.84 días en la actualidad.

Amenazas de ransomware más resilientes


RaaS permite a los operadores y afiliados compartir el riesgo, lo que hace que cada uno sea más resistente. La captura de afiliados no cierra a los operadores y los afiliados pueden cambiar a otro kit de ransomware si un operador es capturado. También se sabe que los hackers reorganizan y renombran sus actividades para evadir a las autoridades.

Por ejemplo, después de que la Oficina de Control de Activos Extranjeros (OFAC) de Estados Unidos sancionara al grupo de ransomware Evil Corp, las víctimas dejaron de pagar los rescates para evitar sanciones de la OFAC. En respuesta, Evil Corp cambió el nombre (el enlace se encuentra fuera de ibm.com) de su ransomware para seguir recibiendo los pagos.

Nuevas tácticas de presión


Los delincuentes cibernéticos que utilizan ataques RaaS han descubierto que a menudo pueden exigir pagos de rescate más altos y más rápidos si no encriptan los datos de la víctima. El paso adicional de restaurar los sistemas puede ralentizar los pagos. Además, más organizaciones mejoraron sus estrategias de copia de seguridad y recuperación, haciendo que el cifrado sea menos dañino para ellas.

En cambio, los delincuentes cibernéticos atacan a las organizaciones con grandes almacenes de información de identificación personal (PII)confidencial—tales como los proveedores de atención médica—y amenazan con filtrar esa información confidencial. Las víctimas a menudo pagan un rescate en lugar de sufrir la vergüenza—y las posibles repercusiones legales—de una filtración.
Variantes notables de ransomware como servicio

Puede ser difícil precisar qué bandas son responsables de qué ransomware o qué operadores iniciaron un ataque. Dicho esto, los profesionales de ciberseguridad han identificado algunos de los principales operadores de RaaS a lo largo de los años, incluyendo:

  • Tox
  • LockBit
  • DarkSide
  • REvil/Sodinokibi
  • Ryuk
  • Hive
  • Black Basta
  • CL0P
  • Eldorado

Tox

 

Identificado por primera vez en 2015, Tox es considerado por muchos como el primer RaaS.

LockBit

 

LockBit es una de las variantes de RaaS más generalizadas, según el X-Force Threat Intelligence Index. LockBit a menudo se propaga a través de correos electrónicos de  phishing. Particularmente, la pandilla detrás de LockBit trató de reclutar afiliados empleados por sus víctimas objetivo, lo que facilita la infiltración.

DarkSide

 

La variante ransomware de DarkSide se utilizó en el ataque de 2021 contra el oleoducto colonial estadounidense, considerado el peor ciberataque a la infraestructura crítica de Estados Unidos hasta la fecha. DarkSide cerró en 2021, pero sus desarrolladores lanzaron un kit RaaS sucesor llamado BlackMatter.

REvil/Sodinokibi

 

REvil, también conocido como Sodin o Sodinokibi, produjo el ransomware detrás de los ataques de 2021 contra JBS USA y Kaseya Limited. En su apogeo, REvil fue una de las variantes de ransomware más extendidas. El Servicio Federal de Seguridad de Rusia cerró REvil y acusó a varios miembros clave a principios de 2022.

Ryuk

 

Antes de cerrar en 2021, Ryuk era una de las mayores operaciones de RaaS. Los desarrolladores detrás de Ryuk lanzaron Conti, otra variante importante de RaaS, que se empleó en un ataque contra el gobierno de Costa Rica en 2022.

Hive

 

Hive saltó a la fama en 2022 luego de un ataque a Microsoft Exchange Server. Los afiliados de Hive eran una amenaza significativa para las empresas financieras y las organizaciones de atención médica hasta que el FBI eliminó al operador.

Black Basta

 

Al llegar como una amenaza en 2022, Black Basta se cobró rápidamente más de 100 víctimas en Norteamérica, Europa y Asia. Mediante ataques dirigidos, los hackers exigirían una doble extorsión: tanto para descifrar los datos de la víctima como con la amenaza de divulgar información confidencial al público.

CL0P

 

En 2023, el grupo de ransomware CL0P aprovechó una vulnerabilidad en la aplicación de transferencia de archivos MOVEit para exponer información sobre millones de personas.

Eldorado

 

Eldorado RaaS se anunció a principios de 2024 en un anuncio en un foro de ransomware. En tres meses, 16 víctimas ya fueron atacadas en Estados Unidos y Europa.1
Protección contra el ransomware como servicio

Aunque RaaS ha cambiado el panorama de las amenazas, muchas de las prácticas estándar para la protección contra el ransomware pueden seguir siendo eficaces para combatir los ataques RaaS.

Muchos afiliados de RaaS son menos expertos técnicamente que los atacantes de ransomware anteriores. Colocar suficientes obstáculos entre los hackers y los activos de la red podría desalentar por completo a algunos ataques de RaaS. Algunas tácticas de ciberseguridad que podrían ser útiles: 

  • Planes integrales de respuesta a incidentes
  • Herramientas de detección basadas en anomalías
  • Reducir la superficie de ataque de la red
  • Capacitación sobre ciberseguridad
  • Implementación de controles de acceso
  • Mantenimiento de copias de seguridad
  • Trabajar con las fuerzas del orden

Planes integrales de respuesta a incidentes

 

La planeación de la respuesta a incidentes puede ser particularmente útil para los ataques RaaS. Debido a que la atribución de ataques puede ser difícil de determinar, los equipos de respuesta a incidentes no pueden contar con que los ataques de ransomware siempre utilicen las mismas tácticas, técnicas y procedimientos (TTPs).

Además, cuando los respondedores a incidentes echan a los afiliados de RaS, los corredores de acceso podrían seguir activos en sus redes. La caza de amenazas proactiva y las investigaciones exhaustivas de incidentes pueden ayudar a los equipos de seguridad a erradicar estas amenazas evasivas. 

Herramientas de detección basadas en anomalías

 

Para identificar los ataques de ransomware en curso, las organizaciones pueden emplear herramientas de detección basadas en anomalías, como algunas soluciones de detección y respuesta de endpoints (EDR) y detección y respuesta de redes (NDR). Estas herramientas emplean funciones de automatización inteligente, inteligencia artificial (IA) y machine learning (ML) para detectar amenazas nuevas y avanzadas casi en tiempo real y proporcionar una mayor protección de endpoints.

Un ataque de ransomware podría detectarse en sus primeras fases con una eliminación inusual de copias de seguridad o un proceso de cifrado que se inicia de repente sin previo aviso. Incluso antes de un ataque, los eventos anómalos podrían ser las “señales de alerta temprana” de un ataque inminente que el equipo de seguridad puede prevenir.

Reducir la superficie de ataque de la red

 

Las organizaciones pueden ayudar a reducir las superficies de ataque de su red realizando evaluaciones frecuentes de vulnerabilidades y aplicando parches de manera regular para cerrar las vulnerabilidades comúnmente explotadas.

Las herramientas de seguridad tales como el software antivirus, la orquestación, automatización y respuesta de seguridad (SOAR)la gestión de eventos e información de seguridad (SIEM)la detección y respuesta extendidas (XDR), también pueden ayudar a los equipos de seguridad a interceptar el ransomware más rápido.

Capacitación sobre ciberseguridad

 

Muestre a los empleados cómo reconocer y evitar los vectores comunes de ransomware, incluyendo el phishing, la ingeniería social y los enlaces maliciosos.

Implementación de controles de acceso

 

La autenticación multifactor, la arquitectura de confianza cero y la segmentación de la red pueden ayudar a evitar que el ransomware llegue a datos confidenciales.

Mantenimiento de copias de seguridad

 

Las organizaciones pueden hacer copias de seguridad periódicas de datos confidenciales e imágenes del sistema, idealmente en unidades de disco duro u otros dispositivos que puedan desconectar de la red.

Trabajar con las fuerzas del orden

 

Las organizaciones a veces pueden ahorrar en el costo y el tiempo de contención con la ayuda de las fuerzas del orden.

Las víctimas de ransomware que involucraron a las fuerzas del orden público redujeron el costo de sus filtraciones en un promedio de casi 1 millón de dólares, excluyendo el costo de cualquier rescate pagado, según el Informe del costo de una filtración de datos de IBM. La participación de las autoridades también ayudó a acortar el tiempo necesario para identificar y contener las filtraciones de 297 a 281 días.
Soluciones relacionadas
Soluciones de protección contra el ransomware

Gestione de forma proactiva sus riesgos de ciberseguridad casi en tiempo real para detectar, responder y minimizar el impacto de los ataques de ransomware. 

 Explore las soluciones de protección contra ransomware
IBM Storage FlashSystem

FlashSystem emplea modelos de machine learning para detectar anomalías, como ransomware, en menos de un minuto, lo que ayuda a garantizar que su empresa esté protegida antes de un ciberataque.

 Conozca IBM Storage FlashSystem
IBM Storage Defender

IBM Storage Defender detecta las amenazas de manera temprana y le ayuda a recuperar sus operaciones de manera segura y rápida en caso de un ataque.

 Explorar IBM Storage Defender
Recursos X-Force Threat Intelligence Index
Capacítese aprendiendo sobre los desafíos y éxitos experimentados por los equipos de seguridad de todo el mundo.
Costo de una filtración de datos
Al comprender las causas y los factores que aumentan o reducen los costos de las filtraciones, usted estará mejor preparado para enfrentarlas.
Taller IBM Security Framing and Discovery
Trabaje con arquitectos y consultores de seguridad senior de IBM para priorizar sus iniciativas de ciberseguridad en una sesión de pensamiento de diseño de 3 horas sin costo, virtual o en persona.
Dé el siguiente paso

Los servicios de ciberseguridad de IBM ofrecen asesoría, integración y seguridad gestionada, junto con capacidades ofensivas y defensivas. Combinamos un equipo global de expertos con tecnología propia y de socios para crear conjuntamente programas de seguridad personalizados que gestionen el riesgo.

 Explore los servicios de ciberseguridad Suscríbase al boletín Think
Notas de pie de página

1El nuevo ransomware como servicio 'Eldorado' se dirige a sistemas Windows y Linux. The Hacker News, 8 de julio de 2024. (El enlace se encuentra fuera de ibm.com).