El ransomware como servicio, puede considerarse una de las principales razones por las que los ataques de ransomware están proliferando. En pocas palabras, RaaS implica vender o alquilar ransomware a compradores que se denominan afiliados. En el pasado, los propios operadores de ransomware lanzaban dichos ataques, sin embargo, cuando RaaS entró en escena ubicó en el panorama una gran variedad de atacantes.
Si bien se observa una división organizada del trabajo en grupos que utilizan RaaS, los participantes del ecosistema de este ciberdelito obtienen una mayor competencia y especialización con respecto a tareas específicas. Algunos se enfocan en penetrar redes y otros en ejecutar el ransomware o negociar el rescate con las víctimas. Dicha especialización, junto con técnicas refinadas de extorsión y estrategias técnicas, convierte al ransomware moderno en una amenaza notoria.
¿Cómo opera RaaS?
RaaS se basa en el modelo de software como servicio (SaaS) en el que se puede acceder al software en línea mediante suscripción, y que también continúa evolucionando a su manera, en un ecosistema completamente funcional e independiente que prospera con jugadores clave. Entre estos jugadores clave se encuentran los operadores, o aquellos que desarrollan y venden ransomware. Por lo general, están organizados en un grupo y tienen roles designados como líder, desarrolladores y administradores de infraestructura y sistemas. Los grupos más avanzados también pueden tener otros roles, como reclutadores, probadores de intrusión (también conocidos como pentesters), analistas de víctimas y negociadores.
Igualmente, algunas funciones y herramientas también pueden subcontratarse o adquirirse a través de programas de afiliados. Por ejemplo, algunos operadores aprovechan el acceso como servicio (AaaS), que proporcionan varios medios de acceso a organizaciones específicas. Mientras que, otros grupos pueden tener fuertes equipos de pruebas de intrusión los cuales utilizan herramientas e infraestructuras de ransomware de programas de afiliados cuando el objetivo se ve comprometido. Los afiliados pueden pertenecer a grupos organizados u operar de forma independiente.
El RaaS proporciona una situación en la que todos ganan un pago alto tanto para los operadores como para los afiliados, al tiempo que permite una mayor especialización en tareas dedicadas. Los afiliados pueden obtener pagos sin tener que desarrollar el ransomware, mientras que los operadores pueden obtener las ganancias directamente de sus afiliados.
Evitando ciertos objetivos
En la clandestinidad, los operadores de ransomware también desarrollaron gradualmente una estrategia para determinar qué objetivos evitar. Por ejemplo, aunque EE. UU. sigue siendo uno de los principales objetivos de todo tipo de actividades maliciosas, algunos operadores de ransomware prefieren evitar este país. Así que algunos grupos han dirigido su atención a Asia pero con algunas restricciones debido a las estrictas políticas contra el lavado de dinero que dificultan la compra legal de criptomonedas y evitan que las organizaciones paguen el rescate exigido.
Otros factores que pueden evitar que los actores de amenazas ataquen una determinada región son el patriotismo de los operadores, los niveles de pobreza de los países o las situaciones geopolíticas en las que se encuentran los objetivos.
Familias de ransomware utilizadas por los operadores y afiliados de RaaS
La mayoría de las familias modernas de ransomware han adoptado el modelo RaaS. De acuerdo con el reporte de ciberseguridad de mitad de año desarrollado por Trend Micro, se encontraron más de 10 familias de ransomware detectadas. Curiosamente, ocho de estas familias han sido utilizadas por operadores y afiliados de RaaS en algún momento: 1. Locky, 2. Cerber, 3. REvil, 4. GrandCrab, 5. Ryuk, 6. DarkSide, 7. Nefilim, y 8. Conti.
¿Cómo defender los sistemas contra el ransomware?
Para que las empresas se protejan de los ataques de ransomware, será útil establecer planes de defensa contra ransomware. Estos pueden basarse en marcos de seguridad, como los del Centro de Seguridad de Internet (CIS) y el Instituto Nacional de Estándares y Tecnología (NIST), los cuales pueden ayudar con la priorización y la administración de recursos para la prevención, defensa y recuperación del ransomware.
Finalmente, más allá de los medios técnicos, es importante comprender que los atacantes utilizarán cualquier vulnerabilidad identificada dentro de una organización objetivo (como datos de clientes, información de identificación personal mal manejada o errores contables) como puntos de presión para aprovechar el valor de negociación del rescate y hacer pagar a la víctima. Por lo tanto, resulta fundamental que las empresas puedan evaluar conscientemente la preparación de su organización para protegerse frente a los ataques de ransomware y así crear una estrategia adecuada en términos de ciberseguridad.
