Como hemos visto en los últimos meses, los ataques de ransomware son cada vez más frecuentes, al punto donde casi no se escucha de otros tipos de ataques. ¿Qué está sucediendo? ¿Será Ransomware una moda pasajera o los atacantes han descubierto algo más?
Primero, comencemos respondiendo la pregunta muy básica: ¿Qué es el Ransomware? Ransomware es un tipo de malware que cifra los archivos y carpetas de la víctima para luego cobrar un rescate a fin de liberar dichos archivos. Los últimos meses se ha visto un aumento masivo en los ataques de ransomware en todo el mundo y muchos de estos son impulsados por el aumento de una nueva modalidad tener acceso a estas herramientas, hablamos de Ransomware-as-a-Service (RaaS).
Ransomware as a Service
Los ataques exitosos de ransomware pueden generar enormes ganancias para los atacantes y usar RaaS puede ser económico y relativamente fácil. Si bien es fácil para un delincuente ejecutar ransomware, desarrollar el malware requiere conocimientos y habilidades técnicas. Ransomware-as-a-Service es la respuesta a este problema. Desarrolladores crean ransomware y lo venden para un uso generalizado.
Ransomware-As-A-Service es un modelo de negocio en el que los delincuentes desarrollan el malware para que lo usen los delincuentes. La gran diferencia es que, en este caso, el producto/servicio que se vende es una herramienta utilizada para actividades delictivas y para desencadenar ataques de ransomware.
¿Qué hace que RaaS sea tan peligroso?
Antes se requería de 3 cualidades para lanzar un ransomware (deseo, conocimiento y objetivo), y es que el más difícil de tener (conocimiento) ha sido facilitado por RaaS, por lo que hoy día prácticamente solo basta con tener el deseo y un objetivo, RaaS se encarga del resto.
Los delincuentes que buscan opciones de RaaS pueden obtener ofertas especiales y elegir entre diferentes modelos de suscripción, que es lo que hace que este servicio sea tan peligroso. Las ofertas de RaaS en la DarkWeb se parecen mucho a las ofertas de marketing tradicionales para servicios de software.
Entre algunos de las formas de adquirir el servicio de suscripciones RaaS se logran encontrar:
- Acceso ilimitado pagando una tarifa única.
- Suscripciones mensuales
- Participación de ganancias: el desarrollador obtiene una parte de cada ataque exitoso y rescate ganado.
Algunos modelos pueden incluir una combinación de tipos de pago, por ejemplo, la participación en las ganancias se puede combinar con una regalía o una tarifa mensual.
El ransomware es altamente personalizable, gracias a los avances tecnológicos, API y servicios Cloud; los compradores a menudo cuentan con interfaces elegantes donde pueden personalizar su malware. Muchos proveedores de RaaS permitirán que incluso un delincuente novato acceda a su conjunto de herramientas, mientras que muchos otros son muy selectivos con respecto a los afiliados con los que trabajan.
Ejemplos de Ransomware-as-a-Service
Existen muchos tipos de RaaS en la DarkWeb. Los “operadores” están constantemente desarrollando software nuevo y mejor. Estos son algunos ejemplos de ransomware que se propaga a través del modelo RaaS:
Ryuk: Ryuk ransomware es una de las variantes de ransomware más prolíficas y costosas que existen. Las estimaciones dicen que Ryuk es responsable de aproximadamente un tercio de las infecciones de ransomware en el último año. El ransomware también es efectivo para convencer a los objetivos de que paguen sus demandas de rescate y ha hecho un estimado de $ 150 millones hasta la fecha.
Lockbit: Lockbit existe desde septiembre de 2019, pero solo recientemente ingresó al espacio RaaS. Se enfoca en cifrar rápidamente los sistemas de grandes organizaciones, minimizando la oportunidad detectar y eliminar el malware antes de que se produzca el daño.
REvil/Sodinokibi: REvil compite con Ryuk como la variante de ransomware más codiciosa. Este malware se propaga de varias maneras, y se sabe que los afiliados de REvil explotan Citrix y Pulse Secure VPN sin parches para infectar sistemas.
Egregor/Maze: La variante del ransomware Maze hizo historia como la primera en introducir la "doble extorsión", que consiste en robar datos como parte de un ataque de ransomware y amenazar con publicar la información si no se paga un rescate adicional. Las variantes de ransomware, como Egregor, todavía están operativas y se ejecutan bajo el modelo de afiliado RaaS.
¿Pagar o no pagar?
Si el ataque de ransomware tiene éxito, la organización se enfrenta a la opción de pagar el rescate o no. De cualquier manera, las empresas deben volver al principio y averiguar por qué ocurrió el incidente. Ya sea que hayan fallado factores humanos o tecnología, vuelva a pasar por todos los procesos y reconsidere toda la estrategia para asegurarse de que nunca vuelva a ocurrir un incidente similar. Dar este paso es necesario independientemente de si una organización paga el rescate o no. Nunca se consuele con el hecho de que de alguna manera se ha recuperado los datos y considerar el incidente resuelto.
Entonces, ¿pagar o no pagar? La respuesta no es tan simple como parece a primera vista. Si bien las cantidades de rescate a veces son de cientos de miles o millones de dólares, las interrupciones de los sistemas críticos a menudo superan estas cantidades. Sin embargo, las empresas deben recordar que incluso si se paga el rescate, no significa que los datos, o incluso parte de ellos, se descifrarán. Incluso hay casos conocidos en los que los atacantes tienen errores en los códigos para que la organización no pueda recuperar los datos aún si quisiera.
No se apresure a tomar una decisión y considere todas sus opciones cuidadosamente. Apóyese de expertos en ciberseguridad primero. Pagar el rescate realmente debería ser el último recurso.
¿Moda o amenaza persistente?
Ransomware-as-a-Service definitivamente es una modalidad de ataque novedosa y extremadamente peligrosa de la cual debemos cuidarnos mucho. Podría decir que en este momento es un poco de ambos, es una moda de alta rentabilidad que lo convierte en una amenaza persistente que estaremos viendo por mucho tiempo todavía.