Close sidebar
BlogCiberseguridad

Ransomware as a service, el negocio multimillonario

El RaaS o Ransomware as a service es la amenaza más grave que tiene la ciberseguridad. O por lo menos, una de las que más pueden afectarte económicamente. En 2021, quienes fueron blanco de ataques con este tipo de malware, pagaron la impresionante cantidad de 20 mil millones de dólares. Lo peor, es que este “modelo de negocio” escala cada vez más.

Pero, ¿qué es el RaaS? Es, en pocas palabras, un servicio para la compra o alquiler de ransomware que se ofrecen en la Dark Web, entre otros «lugares». La mayoría de los clientes son los delincuentes cibernéticos, quienes los usan con el fin de secuestrar o encriptar archivos en un equipo o sistema.

A la víctima, que puede ser una persona, o como es más habitual toda una compañía, se le exige desde miles hasta millones de dólares, a cambio de liberar los datos. Básicamente, aportar la «vacuna» frente al ransomware que ha cifrado los datos o el sistema. Muchas veces, al tratarse de datos financieros o claves para una corporación, se paga lo que sea por recuperarlos. No entraremos en juzgar a nadie, ya que para ello, sería necesario conocer los detalles de lo que ha ocurrido en cada caso.

Este sistema para extorsionar ha evolucionado con el tiempo, y mucho. Ahora, los ciberdelincuentes no solo piden más dinero a cambio de liberar los archivos y sistemas; también lo hacen para no revender esa información o difundirla entre terceros. Es decir, los ciberdelincuentes no solo cifran los datos o sistemas, sino que además, descargan toda la información confidencial o más crítica de las compañías, para pedir «rescate» por descifrar la información y sistemas, y además por no publicar esta información sensible en Internet.

Así, ejercen una doble presión. Si no pagas, no solo no podrás recuperar tus datos; además, se divulgarán y serán usados por otras personas en tu contra, competencia, etc. Ese es su mensaje, y en resumen es cómo funcionan.

Ransomware as a service y su funcionamiento

Ransomware as a Service es, como comentamos, el alquiler de ransomware que puede hallar la ciberdelincuencia en la dark web u otros lugares «poco accesibles» a cualquiera. Ahí, quienes crean este software dañino, los alquilan a cualquiera que desee organizar un ataque a un individuo o como suele ser más normal y con un retorno de la inversión realizada en el alquiler del ransomware, a una compañía. Porque no olvidemos que para acceder a estos servicios de RaaS, se debe pagar un coste alto en dólares, por lo que el ciberdelincuente que quiere atacar a una compañía, va a querer obtener un beneficio mayor al pagado, ya sea en dinero o bien en caída en picado de la credibilidad o confianza en una compañía, competencia directa, por poner un ejemplo.

Los desarrolladores de este tipo de ransomware, además, se asocian con los delincuentes, a quienes en el argot ransomware se les conoce con el nombre “afiliados”. Ellos son quienes distribuyen el ransomware entre las potenciales víctimas.

En esta relación, el desarrollador recibe un monto por cada extorsión consumada, y los afiliados se quedan con otra parte. Claro que el creador puede alquilar el mismo ransomware, con pequeñas modificaciones, a más delincuentes cibernéticos. Así, obtiene mayor cantidad de dinero y beneficio.

Hay quienes incluso ofrecen planes de suscripciones, tarifas preferenciales, tutoriales para usar el software, o asistencia 24/7, por ejemplo. Es una relación de win-win. Los afiliados-ciberdelincuentes pueden extorsionar sin tener que desarrollar su propio malware; los creadores ganan dinero sin efectuar ningún ataque.

Principales clases de Ransomware as a service

Aunque el Ransomware as a Service es relativamente reciente, en él se pueden usar las más de 130 clases activas de ransomware existentes. Todas ellas se derivan de:

      • Ransomware de bloqueo. Inhabilita todo o parte del dispositivo infectado.

      • El criptográfico o de cifrado. Mediante un mecanismo de cifrado, encripta los datos de un equipo o sistema.

    De ahí han surgido otras clases como:

        • Leakware o Doxware. Roba datos confidenciales y amenaza con hacerlos públicos.

        • Wiper. Destruye información, normalmente muy sensible, si no hay pago por rescate de datos.

      También está el Scareware. Es común que aparezca como el mensaje de una institución de seguridad que exige el pago de una multa por la presunta comisión de un delito. Esta última clase, además suele presentarse como una notificación que advierte que tu ordenador fue infectado.

      Para reparar el daño, hay que comprar un antimalware que, obviamente, resulta ser falso. Todo ello ha hecho que el ransomware crezca durante la última década. Inclusive, hay informes que establecen que ciertas compañías han pagado millones de dólares, sin entrar en el número exacto, para recuperar archivos clasificados.

      ¿Cómo te infectan?

      Una vez que el ciberdelincuente alquila el producto malicioso se encarga de que alguien lo descargue de alguna forma en su ordenador. Para ello, es muy normal utilizar el phishing. Mediante emails manipula a la persona para que:

          • Descargue un PDF, documento de Word, Excel u otro archivo, que contendrá código ejecutable potencialmente malintencionado.

          • Visite una web donde está el software malicioso que infecta el equipo.

          • Posteriormente se comienzan a ejecutar comandos de enumeración, movimientos laterales, escalación de privilegios, etc., para posteriormente activarse y encriptar la información y/o sistemas a los que haya tenido acceso en todo el proceso y enviar una notificación mediante la que pide un pago o rescate.

        Es común que el pago se exija en criptomonedas por su dificultad para ser rastreadas. 

        Por último, alguien que hace la función de «lavador de efectivo» reparte las ganancias entre todas las partes.

        En la actualidad, es necesario tener cuidado con lo que recibes a través de apps de mensajería instantánea, ya que es un método también cada vez más utilizado. Aprovechando el uso masivo de las redes sociodigitales, el software malicioso también se propagan a través de estos canales.

        ¿Qué puedes hacer contra el Ransomware as a service?

        Con el propósito de evitar que este fenómeno siga creciendo, los especialistas en ciberseguridad recomiendan que no pagues ningún rescate, aunque como hemos comentado anteriormente, no vamos a entrar en juzgar a nadie, ya que tendríamos que entender todo el proceso, que se ha cifrado, què consecuencias tiene y un larguísimo etcétera. Además, es conveniente que se implemente una serie de medidas en las organizaciones. Por ejemplo y a muy alto nivel:

            • Hacer backup en dispositivos externos o no conectados a la red principal.
            • Utilizar cortafuegos y antimalware específicos.
            • Aplicar parches y actualizaciones de seguridad y de producto.

          También es importante contar con herramientas detección y respuesta extendida (XDR), y de detección y respuesta de endpoint (EDR), sin entrar en los diferentes fabricantes, modelos, características, etc., existentes en el mercado. Te permitirán reaccionar a ataques de ransomware.

          La segmentación de redes igualmente puede impedir afecciones a información sensible o a sistemas. Si un sistema o equipo se ve afectado, esta segmentación puede ayudarnos a contener la infección. 

          Por último, es necesario que la plantilla de tu empresa esté capacitada en ciberseguridad. Esto le permitirá identificar y evitar infecciones maliciosas. La concienciación en materia de ciberseguridad por parte de todos los empleados de las compañías es totalmente fundamental para protegernos ante este tipo de amenazas.

          Es importante aun así, disponer de un plan «anti ransomware», por si a pesar de todas las medidas de seguridad implementadas, entra de alguna forma en los sistemas de la compañía. Este sistema nos debe ayudar a garantizar que en caso de cifrado del sistema, seamos capaces de recuperarlo. Además se debe disponer de un sistema de protección de información, a través del cual se garantice que aunque un ransomware entre en nuestra compañía, la información que nos puedan robar no podrá ser accedida por nadie. De esta forma, podremos recuperar nuestros sistemas y nuestra información, sin tener que depender de pagos por rescate.

          En la actualidad nadie está a salvo de un ransomware. Afecta tanto a consorcios como a personas y hasta a instituciones gubernamentales. Incluso, ahora el peligro es mayor, por el aumento del home office que generó la COVID-19. No se disponen muchas veces de las medidas de ciberseguridad adecuadas, al ampliarse los límites de nuestra infraestructura. Ya que antes eran nuestros firewalls, pero ahora es la propia identidad. Esto evidentemente, hizo que se abrieran las puertas al Ransomware as a Service

          Ahora que ya sabes qué es este servicio y cómo opera, puedes tomar las mejores decisiones. Ponte manos a la obra y, sobre todo, no te dejes extorsionar.

          ciberinseguro

          Lo primero de todo, soy Hacker .... Ético claro, ya que todavía hace falta incluir el adjetivo para diferenciarte de los ciberdelincuentes. Tengo amplia experiencia y conocimiento en Pentesting, Red & Blue Team. Analista e investigador de ciberseguridad. Estoy certificado como Hacker Ético Experto, y como Perito Informático Forense. Con amplia experiencia en análisis de amenazas y vulnerabilidades, análisis de riesgos, auditorías de seguridad y cumplimiento normativo (LOPD, GDPR). Arquitecto de ciberseguridad en sistemas, aplicaciones y redes. Hardening de servidores. Seguridad en entornos Cloud. Delegado de Protección de Datos. Speaker en diferentes eventos, congresos y formaciones en materia de ciberseguridad. Mentor en la National Cyber League de la Guardia Civil. Actualmente soy finalista para estar dentro de los TOP 100 Hackers de EC-Council.

          Publicaciones relacionadas

          Deja una respuesta

          Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

          Botón volver arriba