Puestos

En los últimos años han aumentado los ataques de ransomware, que infectan los ordenadores y obligan a los usuarios a pagar multas para recuperar sus datos. A medida que las nuevas tácticas de ransomware, como la doble extorsión, tienen éxito, los delincuentes exigen mayores pagos de rescate. Las peticiones de rescate ascienden a una media de 5,3 millones de dólares en la primera mitad de 2021, un 518% más respecto al mismo periodo de 2020. Desde 2020, el precio medio del rescate ha subido un 82%, alcanzando 570.000 dólares en la primera mitad de 2021 solo.

RaaS, o Ransomware-as-a-Service, hace que este ataque sea aún más peligroso al permitir que cualquiera pueda lanzar ataques de ransomware en cualquier ordenador o dispositivo móvil con unos pocos clics. Siempre que tengan una conexión a Internet, pueden tomar el control de otro ordenador, ¡incluso uno utilizado por su jefe o empleador! Pero, ¿qué significa exactamente RaaS? 

¿Qué es el ransomware como servicio (RaaS)?

El ransomware como servicio (RaaS) se ha convertido en un modelo de negocio muy popular en el ecosistema de la ciberdelincuencia. El ransomware como servicio permite a los ciberdelincuentes desplegar fácilmente ataques de ransomware sin necesidad de tener conocimientos de codificación o hacking.

Una plataforma RaaS ofrece una serie de características que facilitan a los delincuentes el lanzamiento de un ataque con poca o ninguna experiencia. El proveedor de RaaS proporcionará el código del malware, que el cliente (atacante) puede personalizar para adaptarlo a sus necesidades. Tras la personalización, el atacante puede desplegarlo instantáneamente a través del servidor de comando y control (C&C) de la plataforma. A menudo, no es necesario un servidor de C&C; un criminal puede almacenar los archivos del ataque en un servicio en la nube como Dropbox o Google Drive.

El proveedor de RaaS también ofrece servicios de apoyo que incluyen asistencia técnica para el procesamiento de pagos y apoyo para el descifrado después de un ataque.

El ransomware como servicio explicado de forma sencilla

Si ha oído hablar de Sofware-as-a-Service y sabe cómo funciona, entender el RaaS debería ser una obviedad, ya que funciona a un nivel similar. PowerDMARC también es una plataforma SaaS, ya que asumimos el papel de solucionadores de problemas para las empresas globales ayudándoles a autenticar sus dominios sin poner el esfuerzo manual o el trabajo humano. 

 

Esto es exactamente lo que es RaaS. Actores de amenazas maliciosas técnicamente dotados a través de Internet forman un conglomerado que opera en forma de negocio ilegal (normalmente vendiendo sus servicios a través de la dark web), vendiendo códigos maliciosos y archivos adjuntos que pueden ayudar a cualquier persona a través de Internet a infectar cualquier sistema con ransomware. Venden estos códigos a atacantes que no quieren hacer la parte más difícil y técnica del trabajo por sí mismos y, en cambio, buscan a terceros que puedan ayudarles. Una vez que el atacante realiza la compra puede pasar a infectar cualquier sistema. 

¿Cómo funciona el ransomware como servicio?

Esta forma de modelo de ingresos ha ganado recientemente mucha popularidad entre los ciberdelincuentes. Los hackers despliegan un ransomware en una red o sistema, cifran los datos, bloquean el acceso a los archivos y exigen el pago de un rescate por las claves de descifrado. El pago suele ser en bitcoin u otras formas de criptomoneda. Muchas familias de ransomware pueden cifrar los datos de forma gratuita, lo que hace que su desarrollo y despliegue sean rentables. El atacante sólo cobra si las víctimas pagan; de lo contrario, no gana dinero con ello. 

Los cuatro modelos de ingresos de RaaS:

Aunque es posible crear un ransomware desde cero utilizando una red de bots y otras herramientas de libre acceso, los ciberdelincuentes tienen una opción más fácil. En lugar de arriesgarse a ser descubiertos construyendo su herramienta desde cero, los delincuentes pueden suscribirse a uno de los cuatro modelos básicos de ingresos de RaaS: 

  • Programas de afiliación
  • Suscripciones mensuales
  • Ventas a granel
  • Ventas híbridas a granel y por suscripción

El más común es un programa de afiliación modificado, ya que los afiliados tienen menos gastos generales que los ciberdelincuentes profesionales, que suelen vender servicios de malware en foros clandestinos. Los afiliados pueden inscribirse para ganar dinero promocionando sitios web comprometidos con enlaces en correos electrónicos de spam enviados a millones de víctimas a lo largo del tiempo. Después, sólo tienen que pagar cuando reciben el rescate de sus víctimas.

¿Por qué es peligroso el RaaS?

RaaS permite a los ciberdelincuentes aprovechar sus limitadas capacidades técnicas para sacar provecho de los ataques. Si un ciberdelincuente tiene problemas para encontrar una víctima, puede venderla a una empresa (o a varias).

Si a un ciberdelincuente le resulta difícil atacar objetivos en línea, ahora hay organizaciones que le venden objetivos vulnerables para explotar. Esencialmente, cualquier persona puede lanzar un ataque de ransomware desde cualquier dispositivo sin utilizar métodos sofisticados, subcontratando sus esfuerzos a través de un proveedor de servicios de terceros, lo que hace que todo el proceso sea accesible y sin esfuerzo.

¿Cómo prevenir los ataques de ransomware como servicio?

En un ataque de ransomware como servicio, los hackers alquilan sus herramientas a otros delincuentes, que pagan por el acceso al código que les ayuda a infectar los ordenadores de las víctimas con ransomware. Los vendedores que utilizan estas herramientas cobran cuando sus clientes generan ingresos de las víctimas infectadas.

Seguir estos pasos puede ayudarle a prevenir los ataques de ransomware como servicio:

1. Conocer los métodos de ataque

Hay varias formas diferentes en que el ransomware puede infectar su organización. Conocer cómo se realizan los ataques es la mejor manera de protegerse de ellos. Sabiendo cómo le atacarán puede centrarse en los sistemas de seguridad y las protecciones que necesita, en lugar de limitarse a instalar un software antivirus y cruzar los dedos. 

Los correos electrónicos de suplantación de identidad son una vía común para muchos ciberataques. Por ello, los empleados deben ser conscientes de que no deben hacer clic en los enlaces incrustados ni abrir los archivos adjuntos de remitentes desconocidos. La revisión periódica de las políticas de la empresa en relación con los archivos adjuntos al correo electrónico puede ayudar a prevenir la infección por estafas de phishing y otros métodos de entrega de malware, como los macrovirus y los troyanos.

2. Utilice una suite de seguridad del sistema fiable

Asegúrese de que su ordenador tiene instalado un software de seguridad actualizado en todo momento. Si no tiene un software antivirus, considere la posibilidad de instalar uno de inmediato. El software antivirus puede detectar los archivos maliciosos antes de que lleguen a sus máquinas de destino, evitando que se produzca cualquier daño.

3. Haz copias de seguridad de todo con regularidad

Tener una copia de seguridad de toda tu información te ayudará a prevenir la pérdida de información importante si tu sistema se infecta con malware o ransomware. Sin embargo, si sufres ataques de virus o malware, lo más probable es que no se realicen copias de seguridad periódicas de todos tus archivos, así que asegúrate de tener varias copias de seguridad en diferentes ubicaciones por si acaso una falla.

4. Opte por la protección contra el phishing con la autenticación del correo electrónico

Los correos electrónicos de phishing son vectores de ataque extremadamente comunes y potentes en los exploits de ransomware. La mayoría de las veces, los hackers utilizan los correos electrónicos para intentar que las víctimas hagan clic en enlaces o archivos adjuntos maliciosos que luego pueden infectar sus ordenadores con ransomware. 

Lo ideal es seguir siempre las prácticas de seguridad más actualizadas del mercado y descargar únicamente software de fuentes de confianza para evitar estas estafas de phishing. Pero seamos sinceros, cuando se forma parte de una organización con varios empleados, es una tontería esperar esto de cada uno de sus trabajadores. Además, es un reto y una pérdida de tiempo mantener un control de sus actividades en todo momento. Por eso, implementar una política DMARC es una buena manera de proteger sus correos electrónicos de los ataques de phishing.

Comprobemos en qué punto del ciclo de vida de la infección de RaaS se encuentra el DMARC: 

  • El atacante compra un archivo adjunto malicioso que contiene un ransomware a un operador de RaaS 
  • El atacante envía un correo electrónico de phishing haciéndose pasar por la empresa XYZ con el archivo adjunto comprado a una víctima desprevenida 
  • El dominio suplantado (XYZ inc.) tiene DMARC activado, lo que inicia un proceso de autenticación verificando la identidad del remitente 
  • Al fallar la verificación, el servidor de la víctima considera el correo electrónico como malicioso y lo rechaza según la política DMARC configurada por el propietario del dominio

Más información sobre DMARC como primera línea de defensa contra el ransomware aquí.

  • Filtrado DNS

El ransomware utiliza servidores de comando y control (C2) para comunicarse con la plataforma de los operadores de RaaS. A menudo se comunica una consulta DNS desde un sistema infectado al servidor C2. Las organizaciones pueden utilizar una solución de seguridad de filtrado de DNS para detectar cuando el ransomware intenta comunicarse con el C2 de RaaS y bloquear la transmisión. Esto puede actuar como un mecanismo de prevención de infecciones. 

Conclusión

Aunque el ransomware como servicio (RaaS) es una de las amenazas más recientes que se ceban con los usuarios digitales, es fundamental adoptar ciertas medidas preventivas para combatir esta amenaza. Para protegerse de este ataque, se pueden utilizar potentes herramientas antimalware y protocolos de seguridad del correo electrónico como una combinación de DMARC, SPF y DKIM para asegurar adecuadamente cada salida.

Uno de los mayores focos de atención para la seguridad del correo electrónico en el último año ha sido el DMARC y el ransomware ha surgido como uno de los ciberdelitos más dañinos económicamente de este año. ¿Qué es DMARC? Domain-Based Message Authentication, Reporting and Conformance es un protocolo de autenticación de correo electrónico utilizado por los propietarios de dominios de organizaciones grandes y pequeñas, para proteger su dominio de Business Email Compromise (BEC), suplantación directa de dominio, ataques de phishing y otras formas de fraude por correo electrónico.

DMARC le ayuda a disfrutar de múltiples beneficios a lo largo del tiempo, como un aumento considerable de la entregabilidad de su correo electrónico y de la reputación del dominio. Sin embargo, un hecho menos conocido es que DMARC también sirve como primera línea de defensa contra el ransomware. Vamos a enunciar cómo DMARC puede proteger contra el Ransomware y cómo el ransomware puede afectarle.

¿Qué es el ransomware?

El ransomware es un tipo de software malicioso(malware) que se instala en un ordenador, normalmente mediante el uso de programas maliciosos. El objetivo del código malicioso es cifrar los archivos del ordenador, tras lo cual suele exigir un pago para descifrarlos.

Una vez instalado el malware, el delincuente exige el pago de un rescate por parte de la víctima para restaurar el acceso a los datos. Permite a los ciberdelincuentes cifrar los datos sensibles de los sistemas informáticos, protegiéndolos de forma efectiva del acceso. A continuación, los ciberdelincuentes exigen a la víctima el pago de una suma de rescate para eliminar el cifrado y restablecer el acceso. Las víctimas suelen encontrarse con un mensaje que les dice que sus documentos, fotos y archivos de música han sido cifrados y que deben pagar un rescate para supuestamente "restaurar" los datos. Normalmente, piden a los usuarios que paguen en Bitcoin y les informan del tiempo que tienen que pagar para no perderlo todo.

¿Cómo funciona el ransomware?

El ransomware ha demostrado que las malas medidas de seguridad ponen a las empresas en gran riesgo. Uno de los mecanismos de distribución más eficaces del ransomware es el phishing por correo electrónico. El ransomware se distribuye a menudo a través del phishing. Una forma común de que esto ocurra es cuando un individuo recibe un correo electrónico malicioso que le convence de abrir un archivo adjunto que contiene un archivo en el que debería confiar, como una factura, que en cambio contiene malware y comienza el proceso de infección.

El correo electrónico afirmará ser algo oficial de una empresa conocida y contiene un archivo adjunto que pretende ser un software legítimo, por lo que es muy probable que clientes, socios o empleados desprevenidos que conozcan sus servicios sean presa de ellos.

Los investigadores de seguridad han llegado a la conclusión de que para que una organización se convierta en objetivo de ataques de phishing con enlaces maliciosos a descargas de malware, la elección es "oportunista". Gran parte del ransomware no tiene ninguna orientación externa sobre a quién dirigirse, y a menudo lo único que le guía es la pura oportunidad. Esto significa que cualquier organización, ya sea un pequeño negocio o una gran empresa, puede ser el próximo objetivo si tiene lagunas en la seguridad de su correo electrónico.

2021 informe reciente sobre tendencias de seguridad han hecho los siguientes descubrimientos angustiosos:

  • Desde 2018, se ha producido un aumento del 350% en los ataques de ransomware, lo que lo convierte en uno de los vectores de ataque más populares de los últimos tiempos.
  • Los expertos en ciberseguridad creen que en 2021 habrá más ataques de ransomware que nunca.
  • Más del 60% de todos los ataques de ransomware en 2020 implicaron acciones sociales, como el phishing.
  • Las nuevas variantes de ransomware han aumentado un 46% en los últimos dos años
  • Se han detectado 68.000 nuevos troyanos ransomware para móviles
  • Los investigadores de seguridad han calculado que cada 14 segundos una empresa es víctima de un ataque de ransomware

¿Protege DMARC contra el ransomware? DMARC y el ransomware

DMARC es la primera línea de defensa contra los ataques de ransomware. Dado que el ransomware suele llegar a las víctimas en forma de correos electrónicos de phishing maliciosos procedentes de dominios de empresa falsificados o suplantados, DMARC ayuda a proteger su marca de la suplantación de identidad, lo que significa que esos correos electrónicos falsos se marcarán como spam o no se entregarán cuando tenga el protocolo correctamente configurado. DMARC y el ransomware: ¿cómo ayuda DMARC?

  • DMARC autentifica sus correos electrónicos según los estándares de autenticación SPF y DKIM que ayudan a filtrar las direcciones IP maliciosas, la falsificación y la suplantación de dominios.
  • Cuando un correo electrónico de phishing curado por un atacante con un enlace malicioso para instalar un ransomware que surge de su nombre de dominio llega a un servidor de cliente/empleado, si tiene
  • DMARC implementado el correo electrónico se autentifica contra SPF y DKIM.
  • El servidor receptor intenta verificar la fuente de envío y la firma DKIM
  • El correo electrónico malicioso no superará las comprobaciones de verificación y, en última instancia, no superará la autenticación DMARC debido a la desalineación del dominio
  • Ahora, si ha implementado DMARC en un modo de política forzada (p=rechazo/cuarentena) el correo electrónico después de fallar DMARC será marcado como spam, o rechazado, anulando las posibilidades de que sus receptores sean presa del ataque de ransomware
  • Por último, evite errores SPF adicionales como demasiadas búsquedas de DNS, errores sintácticos y errores de implementación, para evitar que su protocolo de autenticación de correo electrónico sea invalidado
  • Esto, en última instancia, salvaguarda la reputación de su marca, la información sensible y los activos monetarios

El primer paso para obtener protección contra los ataques de ransomware es registrarse en DMARC analyzer hoy mismo. Le ayudamos a implantar DMARC y a pasar a la aplicación de DMARC fácilmente y en el menor tiempo posible. Comience hoy mismo su viaje de autenticación de correo electrónico con DMARC.