Puestos

En los últimos años han aumentado los ataques de ransomware, que infectan los ordenadores y obligan a los usuarios a pagar multas para recuperar sus datos. A medida que las nuevas tácticas de ransomware, como la doble extorsión, tienen éxito, los delincuentes exigen mayores pagos de rescate. Las peticiones de rescate ascienden a una media de 5,3 millones de dólares en la primera mitad de 2021, un 518% más respecto al mismo periodo de 2020. Desde 2020, el precio medio del rescate ha subido un 82%, alcanzando 570.000 dólares en la primera mitad de 2021 solo.

RaaS, o Ransomware-as-a-Service, hace que este ataque sea aún más peligroso al permitir que cualquiera pueda lanzar ataques de ransomware en cualquier ordenador o dispositivo móvil con unos pocos clics. Siempre que tengan una conexión a Internet, pueden tomar el control de otro ordenador, ¡incluso uno utilizado por su jefe o empleador! Pero, ¿qué significa exactamente RaaS? 

¿Qué es el ransomware como servicio (RaaS)?

El ransomware como servicio (RaaS) se ha convertido en un modelo de negocio muy popular en el ecosistema de la ciberdelincuencia. El ransomware como servicio permite a los ciberdelincuentes desplegar fácilmente ataques de ransomware sin necesidad de tener conocimientos de codificación o hacking.

Una plataforma RaaS ofrece una serie de características que facilitan a los delincuentes el lanzamiento de un ataque con poca o ninguna experiencia. El proveedor de RaaS proporcionará el código del malware, que el cliente (atacante) puede personalizar para adaptarlo a sus necesidades. Tras la personalización, el atacante puede desplegarlo instantáneamente a través del servidor de comando y control (C&C) de la plataforma. A menudo, no es necesario un servidor de C&C; un criminal puede almacenar los archivos del ataque en un servicio en la nube como Dropbox o Google Drive.

El proveedor de RaaS también ofrece servicios de apoyo que incluyen asistencia técnica para el procesamiento de pagos y apoyo para el descifrado después de un ataque.

El ransomware como servicio explicado de forma sencilla

Si ha oído hablar de Sofware-as-a-Service y sabe cómo funciona, entender el RaaS debería ser una obviedad, ya que funciona a un nivel similar. PowerDMARC también es una plataforma SaaS, ya que asumimos el papel de solucionadores de problemas para las empresas globales ayudándoles a autenticar sus dominios sin poner el esfuerzo manual o el trabajo humano. 

 

Esto es exactamente lo que es RaaS. Actores de amenazas maliciosas técnicamente dotados a través de Internet forman un conglomerado que opera en forma de negocio ilegal (normalmente vendiendo sus servicios a través de la dark web), vendiendo códigos maliciosos y archivos adjuntos que pueden ayudar a cualquier persona a través de Internet a infectar cualquier sistema con ransomware. Venden estos códigos a atacantes que no quieren hacer la parte más difícil y técnica del trabajo por sí mismos y, en cambio, buscan a terceros que puedan ayudarles. Una vez que el atacante realiza la compra puede pasar a infectar cualquier sistema. 

¿Cómo funciona el ransomware como servicio?

Esta forma de modelo de ingresos ha ganado recientemente mucha popularidad entre los ciberdelincuentes. Los hackers despliegan un ransomware en una red o sistema, cifran los datos, bloquean el acceso a los archivos y exigen el pago de un rescate por las claves de descifrado. El pago suele ser en bitcoin u otras formas de criptomoneda. Muchas familias de ransomware pueden cifrar los datos de forma gratuita, lo que hace que su desarrollo y despliegue sean rentables. El atacante sólo cobra si las víctimas pagan; de lo contrario, no gana dinero con ello. 

Los cuatro modelos de ingresos de RaaS:

Aunque es posible crear un ransomware desde cero utilizando una red de bots y otras herramientas de libre acceso, los ciberdelincuentes tienen una opción más fácil. En lugar de arriesgarse a ser descubiertos construyendo su herramienta desde cero, los delincuentes pueden suscribirse a uno de los cuatro modelos básicos de ingresos de RaaS: 

  • Programas de afiliación
  • Suscripciones mensuales
  • Ventas a granel
  • Ventas híbridas a granel y por suscripción

El más común es un programa de afiliación modificado, ya que los afiliados tienen menos gastos generales que los ciberdelincuentes profesionales, que suelen vender servicios de malware en foros clandestinos. Los afiliados pueden inscribirse para ganar dinero promocionando sitios web comprometidos con enlaces en correos electrónicos de spam enviados a millones de víctimas a lo largo del tiempo. Después, sólo tienen que pagar cuando reciben el rescate de sus víctimas.

¿Por qué es peligroso el RaaS?

RaaS permite a los ciberdelincuentes aprovechar sus limitadas capacidades técnicas para sacar provecho de los ataques. Si un ciberdelincuente tiene problemas para encontrar una víctima, puede venderla a una empresa (o a varias).

Si a un ciberdelincuente le resulta difícil atacar objetivos en línea, ahora hay organizaciones que le venden objetivos vulnerables para explotar. Esencialmente, cualquier persona puede lanzar un ataque de ransomware desde cualquier dispositivo sin utilizar métodos sofisticados, subcontratando sus esfuerzos a través de un proveedor de servicios de terceros, lo que hace que todo el proceso sea accesible y sin esfuerzo.

¿Cómo prevenir los ataques de ransomware como servicio?

En un ataque de ransomware como servicio, los hackers alquilan sus herramientas a otros delincuentes, que pagan por el acceso al código que les ayuda a infectar los ordenadores de las víctimas con ransomware. Los vendedores que utilizan estas herramientas cobran cuando sus clientes generan ingresos de las víctimas infectadas.

Seguir estos pasos puede ayudarle a prevenir los ataques de ransomware como servicio:

1. Conocer los métodos de ataque

Hay varias formas diferentes en que el ransomware puede infectar su organización. Conocer cómo se realizan los ataques es la mejor manera de protegerse de ellos. Sabiendo cómo le atacarán puede centrarse en los sistemas de seguridad y las protecciones que necesita, en lugar de limitarse a instalar un software antivirus y cruzar los dedos. 

Los correos electrónicos de suplantación de identidad son una vía común para muchos ciberataques. Por ello, los empleados deben ser conscientes de que no deben hacer clic en los enlaces incrustados ni abrir los archivos adjuntos de remitentes desconocidos. La revisión periódica de las políticas de la empresa en relación con los archivos adjuntos al correo electrónico puede ayudar a prevenir la infección por estafas de phishing y otros métodos de entrega de malware, como los macrovirus y los troyanos.

2. Utilice una suite de seguridad del sistema fiable

Asegúrese de que su ordenador tiene instalado un software de seguridad actualizado en todo momento. Si no tiene un software antivirus, considere la posibilidad de instalar uno de inmediato. El software antivirus puede detectar los archivos maliciosos antes de que lleguen a sus máquinas de destino, evitando que se produzca cualquier daño.

3. Haz copias de seguridad de todo con regularidad

Tener una copia de seguridad de toda tu información te ayudará a prevenir la pérdida de información importante si tu sistema se infecta con malware o ransomware. Sin embargo, si sufres ataques de virus o malware, lo más probable es que no se realicen copias de seguridad periódicas de todos tus archivos, así que asegúrate de tener varias copias de seguridad en diferentes ubicaciones por si acaso una falla.

4. Opte por la protección contra el phishing con la autenticación del correo electrónico

Los correos electrónicos de phishing son vectores de ataque extremadamente comunes y potentes en los exploits de ransomware. La mayoría de las veces, los hackers utilizan los correos electrónicos para intentar que las víctimas hagan clic en enlaces o archivos adjuntos maliciosos que luego pueden infectar sus ordenadores con ransomware. 

Lo ideal es seguir siempre las prácticas de seguridad más actualizadas del mercado y descargar únicamente software de fuentes de confianza para evitar estas estafas de phishing. Pero seamos sinceros, cuando se forma parte de una organización con varios empleados, es una tontería esperar esto de cada uno de sus trabajadores. Además, es un reto y una pérdida de tiempo mantener un control de sus actividades en todo momento. Por eso, implementar una política DMARC es una buena manera de proteger sus correos electrónicos de los ataques de phishing.

Comprobemos en qué punto del ciclo de vida de la infección de RaaS se encuentra el DMARC: 

  • El atacante compra un archivo adjunto malicioso que contiene un ransomware a un operador de RaaS 
  • El atacante envía un correo electrónico de phishing haciéndose pasar por la empresa XYZ con el archivo adjunto comprado a una víctima desprevenida 
  • El dominio suplantado (XYZ inc.) tiene DMARC activado, lo que inicia un proceso de autenticación verificando la identidad del remitente 
  • Al fallar la verificación, el servidor de la víctima considera el correo electrónico como malicioso y lo rechaza según la política DMARC configurada por el propietario del dominio

Más información sobre DMARC como primera línea de defensa contra el ransomware aquí.

  • Filtrado DNS

El ransomware utiliza servidores de comando y control (C2) para comunicarse con la plataforma de los operadores de RaaS. A menudo se comunica una consulta DNS desde un sistema infectado al servidor C2. Las organizaciones pueden utilizar una solución de seguridad de filtrado de DNS para detectar cuando el ransomware intenta comunicarse con el C2 de RaaS y bloquear la transmisión. Esto puede actuar como un mecanismo de prevención de infecciones. 

Conclusión

Aunque el ransomware como servicio (RaaS) es una de las amenazas más recientes que se ceban con los usuarios digitales, es fundamental adoptar ciertas medidas preventivas para combatir esta amenaza. Para protegerse de este ataque, se pueden utilizar potentes herramientas antimalware y protocolos de seguridad del correo electrónico como una combinación de DMARC, SPF y DKIM para asegurar adecuadamente cada salida.