Los ataques de ransomware se han convertido en una amenaza importante y generalizada en el ámbito en constante evolución de la ciberseguridad. Entre las diversas iteraciones de ransomware, una tendencia que ha ganado importancia es el Ransomware-as-a-Service (RaaS). Este alarmante avance ha transformado el panorama del cibercrimen, permitiendo a personas con experiencia técnica limitada llevar a cabo ataques devastadores.
Ataques de ransomware tradicionales y de doble extorsión
Tradicionalmente, el ransomware se refiere a un tipo de malware que cifra los archivos de la víctima, bloqueando efectivamente el acceso a los datos y aplicaciones hasta que se paga un rescate al atacante. Sin embargo, los atacantes más contemporáneos suelen emplear una estrategia adicional. Los delincuentes crean copias de los datos comprometidos y aprovechan la amenaza de publicar información confidencial en línea a menos que se cumplan sus demandas de rescate. Este enfoque dual añade una capa adicional de complejidad y daño potencial a las víctimas.
Un nuevo modelo de ransomware
RaaS es el último modelo de negocio en el mundo del ransomware. Al igual que otras ofertas «como servicio», los piratas informáticos sin experiencia ahora pueden aprovechar las herramientas bajo demanda para actividades maliciosas. En lugar de crear e implementar su propio ransomware, se les da la opción de pagar una tarifa, seleccionar un objetivo y lanzar un ataque utilizando herramientas especializadas proporcionadas por un proveedor de servicios.
Este modelo reduce significativamente el tiempo y el costo necesarios para ejecutar un ataque de ransomware, especialmente al identificar nuevos objetivos. De hecho, un encuesta reciente reveló que el período de tiempo promedio entre que un atacante de ransomware viola una red y cifra archivos ha caído por debajo de 24 horas por primera vez.
El modelo RaaS también fomenta las economías de escala, ya que los proveedores de servicios están motivados para desarrollar nuevas cepas que puedan eludir las defensas de seguridad. Broja Rodríguez, líder del equipo de búsqueda de amenazas en Outpost24, destaca que tener varios clientes en realidad ayuda a los creadores de ransomware a comercializar sus herramientas.
«[The customers] propagar un ransomware con un nombre específico en numerosas máquinas, creando una sensación de urgencia para que las víctimas paguen. Cuando las víctimas investigan el ransomware y encuentran múltiples informes al respecto, están más inclinadas a cumplir con las demandas de rescate. Es similar a una estrategia de marca en el mundo criminal».
La base de clientes también significa que los creadores de ransomware pueden obtener comentarios más detallados sobre qué técnicas funcionan mejor en diferentes escenarios. Obtienen inteligencia en tiempo real sobre qué tan bien se están adaptando las herramientas de ciberseguridad a las nuevas tensiones y dónde las vulnerabilidades permanecen desconectadas.
El modelo de negocio de RaaS
A pesar de su naturaleza ilícita, RaaS opera de manera similar a las empresas legítimas. Los clientes, comúnmente denominados «afiliados», tienen varias opciones de pago, incluidas tarifas fijas, suscripciones o un porcentaje de los ingresos. En algunos casos, los proveedores incluso se ofrecen a gestionar el proceso de cobro del rescate, normalmente utilizando criptomonedas imposibles de rastrear, sirviendo efectivamente como procesadores de pagos.
También es un mercado altamente competitivo, con comentarios de los usuarios en foros de la «web oscura». Como explica Broja Rodríguez, los clientes no son leales y la competencia aumenta la calidad (lo cual es una mala noticia para las víctimas). Si un servicio decepciona:
«[Customers] No dudaré en probar otro grupo RaaS. Tener múltiples afiliaciones amplía sus opciones y mejora sus posibilidades de sacar provecho de sus actividades cibercriminales. Dado que todos los afiliados buscan el mejor grupo, la competitividad entre los grupos de RaaS puede aumentar. Un pequeño fallo de que tu malware no se ejecute en una víctima puede hacerte perder afiliados, y estos se trasladarán a otros grupos con más reconocimiento de nombre o, al menos, a aquellos donde se ejecuta su malware.»
Defensa contra RaaS
Existen numerosas recomendaciones para defenderse contra el ransomware que enfatizan la importancia de la continuidad del negocio. Estos incluyen mantener copias de seguridad confiables e implementar planes efectivos de recuperación ante desastres para minimizar el impacto de un ataque exitoso. Si bien estas medidas son indudablemente valiosas, es fundamental señalar que no abordan directamente el riesgo de exposición de datos.
Para mitigar eficazmente los ataques de ransomware, es fundamental identificar y abordar de forma proactiva las vulnerabilidades de seguridad. Aprovechar las pruebas de penetración y las metodologías de equipos rojos puede mejorar significativamente su defensa. Para un enfoque continuo e integral, especialmente para superficies de ataque dinámicas como aplicaciones web, se recomienda encarecidamente asociarse con un proveedor de pruebas de penetración como servicio (PTaaS). PTaaS de Outpost24 ofrece información en tiempo real, monitoreo continuo y validación de expertos, lo que garantiza la seguridad de sus aplicaciones web a escala.
La información es un activo fundamental en la lucha contra el ransomware y Cyber Threat Intelligence desempeña un papel fundamental. Threat Compass de Outpost24 ofrece un enfoque modular que permite la detección y el análisis de amenazas adaptadas a la infraestructura de su organización. Con acceso a inteligencia sobre amenazas actualizada y contexto procesable, su equipo de seguridad puede responder con rapidez y eficacia, reforzando sus defensas contra los ataques de ransomware.
La línea de fondo
Los ataques de ransomware se han vuelto cada vez más sofisticados, lo que da como resultado amenazas más poderosas, dirigidas y ágiles. Para defenderse eficazmente contra esta amenaza en evolución, es crucial utilizar herramientas específicas impulsadas por la inteligencia más reciente. Comuníquese con Outpost24 para que lo ayude a tomar las medidas necesarias para salvaguardar la seguridad de su organización.