Ransomware como servicio (RaaS)

El ransomware ha pasado rápidamente de ser una mera amenaza de ciberseguridad a convertirse en una industria en toda regla, con la aparición del software ransomware como servicio como punto focal. Este modelo de servicio marca un cambio significativo en la forma en que se orquestan los ciberataques, convirtiendo lo que antes era un peligro aislado en una herramienta accesible para los ciberdelincuentes de todo el mundo. La proliferación de este enfoque “orientado a los servicios” tiene profundas implicaciones para el panorama de la ciberseguridad, ya que reduce las barreras de entrada y permite lanzar ataques de “secuestro y rescate” incluso a perpetradores que carecen de conocimientos técnicos sofisticados.

El ransomware como servicio, a menudo abreviado RaaS (por las siglas en inglés de Ransomware as a Service), es un modelo de negocio basado en suscripción que permite a los hackers utilizar herramientas de ransomware predesarrolladas. Al igual que las ofertas legítimas de software como servicio, este servicio proporciona todo lo necesario para lanzar y gestionar ataques de ransomware sin necesidad de grandes conocimientos técnicos. En esencia, permite a los ciberdelincuentes alquilar la infraestructura de malware creada por desarrolladores experimentados, que suelen recibir una parte de cualquier rescate cobrado con éxito.

En esencia, el concepto convierte sofisticadas capacidades de ciberataque en servicios masificados que los ciberdelincuentes novatos pueden desplegar fácilmente contra víctimas desprevenidas. Los individuos o grupos que están detrás de estos servicios se encargan de la compleja tarea de mantener y actualizar el malware, al tiempo que proporcionan atención al cliente —en este caso, para actividades ilegales— a sus suscriptores. Esta externalización simplifica muchos aspectos de la extorsión digital y amplía el grupo potencial de atacantes más allá de los hackers experimentados.

Las ramificaciones son de gran alcance. La reducción de las barreras de entrada se traduce en un aumento de las amenazas en todos los sectores, desde las pequeñas empresas que no están preparadas para asaltos tan sofisticados hasta las grandes corporaciones con datos valiosos en juego. El aumento de la disponibilidad y la facilidad de uso que ofrecen las plataformas RaaS no sólo intensifica la frecuencia, sino que también aumenta la gravedad de estos incidentes de ciberseguridad a escala mundial.

El funcionamiento del software Ransomware-as-a-Service es alarmantemente similar al de las transacciones legítimas de comercio electrónico. Estos servicios suelen comercializarse y distribuirse a través de mercados de la dark web que proporcionan anonimato a compradores y vendedores. Los afiliados potenciales suelen acceder a estas plataformas a través de navegadores especializados, y algunos incluso operan sus propios sitios web completos con reseñas de usuarios y estructuras de precios escalonadas, como cualquier tienda minorista online.

Una vez en estos sitios, los posibles atacantes pueden examinar diversas ofertas de software RaaS, comparando características como la potencia de cifrado o las técnicas de anonimización utilizadas en el proceso de pago del rescate. Tras seleccionar un producto, lo compran como cualquier otro servicio digital —a menudo utilizando criptomonedas por su naturaleza no rastreable— y obtienen acceso inmediato a las herramientas de malware necesarias para lanzar los ataques.

La evolución continua es parte de lo que hace que el ransomware como servicio sea tan peligroso. Los operadores actualizan regularmente su malware para eludir las medidas de seguridad o introducir nuevas “funcionalidades” que lo hacen más difícil de combatir. Este desarrollo iterativo garantiza que las defensas deban adaptarse constantemente y a la vez mantener la solidez contra las versiones más antiguas que aún circulan por Internet.

Existe una distinción clave entre dos roles dentro de este ecosistema: operadores y afiliados. Los operadores desarrollan, mantienen y actualizan el propio ransomware: son esencialmente los proveedores en la cúspide de esta cadena de suministro ilícita. Diseñan campañas sofisticadas, pero se evitan riesgos legales al no atacar ellos mismos directamente a los objetivos.

Los afiliados son actores independientes que se suscriben o compran el servicio de un operador: son algo así como clientes convertidos en distribuidores en un retorcido esquema de marketing multinivel. Los afiliados utilizan las herramientas proporcionadas bajo la orientación de los operadores, pero asumen la mayoría de los riesgos asociados al despliegue real contra las víctimas. Sin embargo, pueden ganar partes sustanciales de los rescates pagados por las entidades infectadas.

Esta relación simbiótica permite a cada una de las partes —los desarrolladores detrás del software RaaS (operadores) y los ciberdelincuentes que despliegan estos ataques (afiliados)— especializarse en diferentes aspectos de una empresa delictiva mientras se benefician mutuamente del éxito compartido.

La estructura financiera del ransomware como servicio está diseñada para atraer a una amplia gama de ciberdelincuentes, ofreciendo múltiples modelos de ingresos que se adaptan a diferentes niveles de implicación e inversión. He aquí cuatro formas comunes en las que estos servicios ilícitos monetizan sus ofertas:

1. Modelo basado en suscripciones: Este modelo funciona de forma muy parecida a un servicio de suscripción de software estándar, en el que los afiliados pagan una cuota periódica para acceder a las herramientas de ransomware. Pueden tener la opción de realizar pagos mensuales o anuales, lo que les garantiza el uso continuo de las últimas versiones del malware y la atención al cliente por parte de los operadores.
2. Modelo basado en comisiones: Bajo este esquema de reparto de ingresos, los afiliados no pagan costes por adelantado, sino que deben ceder un porcentaje de sus ganancias —normalmente obtenidas de los rescates de las víctimas— a los operadores del software RaaS. La parte del “pastel” que corresponde a los operadores puede variar significativamente, dependiendo normalmente de factores como el tamaño del objetivo y el importe del rescate.
3. Modelo de pago único: Algunos servicios permiten una compra única en la que el afiliado paga una suma fija por el acceso de por vida a las herramientas de ransomware sin más obligación financiera para el operador. Es similar a la compra de licencias perpetuas de software en mercados legítimos; sin embargo, las actualizaciones y el soporte técnico pueden ser limitados bajo este acuerdo.
4. Niveles de servicio escalonados: Reflejando modelos vistos en muchas plataformas SaaS fuera de los círculos ilícitos, algunas operaciones RaaS ofrecen diferentes niveles o paquetes con distintos niveles de servicio y prestaciones; por ejemplo, cifrado en vez de funciones más avanzadas que evaden mejor la detección o proporcionan métodos adicionales de anonimización para las transacciones.

Cada modelo de ingresos ofrece su propio atractivo en función de la tolerancia al riesgo y la capacidad de inversión de los ciberdelincuentes que se plantean entrar en estos mercados de la dark web.

El ransomware tradicional y el ransomware como servicio (RaaS) difieren principalmente en sus estructuras operativas y métodos de distribución. Los ataques tradicionales de ransomware suelen ser llevados a cabo por individuos o grupos que crean, despliegan y gestionan su propio malware, lo que requiere importantes conocimientos técnicos para ejecutarse con éxito.

Por otro lado, el ransomware como servicio funciona con un modelo de proveedor-afiliado y permite a los ciberdelincuentes con distintos niveles de habilidad lanzar ataques utilizando herramientas prefabricadas adquiridas a desarrolladores experimentados. Mientras que el ransomware tradicional puede ser como un trabajo de artesanía, en la que cada pieza es única, el software RaaS se asemeja a una cadena de montaje que produce productos accesibles (pero dañinos) para su despliegue masivo por parte de afiliados que comparten beneficios con los operadores del servicio.

Varios ejemplos notorios de software Ransomware as a Service han aparecido en los titulares por su amplio impacto y sofisticadas operaciones. He aquí algunos casos notables:

• REvil (Sodinokibi): Conocido por sus ataques de alto perfil, REvil ofrece funciones avanzadas como notas de rescate personalizables y portales de pago. Este grupo ha tenido como objetivo grandes corporaciones, con exigencias monetarias que a veces se cifran en millones.
• GandCrab: Antes de su cierre en 2019, GandCrab se hizo con una parte significativa del mercado de software RaaS. Destacaba por su programa de afiliación fácil de usar y sus frecuentes actualizaciones que se adelantaban a las medidas de seguridad.
• DarkSide: Ganando notoriedad por tener como objetivo infraestructuras críticas, los operadores de DarkSide ofrecían servicios a medida a los afiliados en función del tamaño de las víctimas y su capacidad de pago, lo que se traducía en sustanciosos rescates.
• Locky: Fue una de las cepas más dominantes alrededor de 2016-2017. Locky se propagaba principalmente a través de correos electrónicos de phishing; su cifrado era notablemente difícil de descifrar en ese momento.

Cada ejemplo representa la facilidad con la que estas herramientas dañinas pueden llegar a quienes pretenden explotar las vulnerabilidades de ciberseguridad en todos los sectores de todo el mundo y pone de relieve por qué comprender este panorama es crucial para las estrategias de defensa contra estas amenazas en evolución.

Ante las crecientes amenazas del software de Ransomware como Servicio, las personas y las organizaciones deben emplear estrategias de seguridad sólidas. He aquí varias medidas clave a tener en cuenta:

• Copias de seguridad periódicas: Crear copias de seguridad de los datos críticos periódicamente es una de las defensas más eficaces contra los ataques de ransomware. Debe almacenar estas copias de seguridad en dispositivos independientes o en un almacenamiento seguro en la nube al que los atacantes no puedan acceder fácilmente.
• Formación de conciencia de seguridad: Formar a los empleados sobre los peligros de los correos electrónicos de phishing, los archivos adjuntos sospechosos y las tácticas de ingeniería social ayuda a reducir significativamente el riesgo de que un empleado descargue inadvertidamente malware en su red.
• Soluciones de seguridad actualizadas: El uso de soluciones antivirus y antimalware completas con supervisión en tiempo real ayuda a detectar y prevenir la actividad maliciosa antes de que comprometa los sistemas.
• Segmentación de redes: Al segmentar las redes en subredes, las organizaciones limitan el desplazamiento lateral de los posibles intrusos, lo que significa que, si un segmento se ve comprometido, los demás permanecen protegidos.
• Controles de acceso: Implemente políticas estrictas de control de acceso; los usuarios sólo deben tener los permisos necesarios para su función. El principio del mínimo privilegio reduce la exposición cuando las credenciales resulten robadas o mal utilizadas.
• Gestión de parches: La actualización periódica de los sistemas operativos y las aplicaciones elimina las vulnerabilidades que los ciberdelincuentes podrían explotar desplegando herramientas de ransomware.

Cada estrategia desempeña un papel crucial en la creación de un enfoque de defensa de varias capas para detectar y disuadir a los posibles atacantes que utilizan plataformas de software RaaS.

Proofpoint ofrece un enfoque multicapa para protegerse contra el ransomware como servicio (RaaS) y las ciberamenazas relacionadas. Algunas de las soluciones más relevantes que ofrece Proofpoint son:

• Advanced Threat Protection y Cloud Security: Estas plataformas integradas reducen el riesgo de ataques de ransomware mediante controles por capas que evitan la infección inicial.
• Targeted Attack Protection (TAP): Esta solución detecta, analiza y bloquea las amenazas avanzadas, incluido el ransomware, antes de que lleguen a la bandeja de entrada. Ayuda a las organizaciones a adelantarse a los atacantes proporcionando información sobre amenazas que abarca el correo electrónico, la nube, la red, los dispositivos móviles y las redes sociales.
• Email Protection: La solución Email Protection de Proofpoint asegura la pasarela y protege el correo electrónico, proporcionando múltiples capas de seguridad para detectar y bloquear el ransomware y el malware. También ofrece filtrado avanzado de correo electrónico y formación sobre concienciación de seguridad para ayudar a los usuarios a identificar las amenazas de ransomware.

Estas soluciones aplican estrategias holísticas centradas en las personas para evitar las pérdidas provocadas por el ransomware, reduciendo en última instancia el riesgo de ataques RaaS. Para obtener más información sobre cómo combatir el ransomware como servicio, póngase en contacto con Proofpoint.