Conoce Atico34 - Solicita presupuesto
Ciberseguridad

Malware as a service (MaaS), una amenaza creciente

Últimamente, raro es el mes en el que no tenemos alguna noticia relacionada con alguna clase de ciberataque sonado, por no mencionar que prácticamente todos los días se producen ataques a menor escala, pero igual de dañinos para sus víctimas. Una de las razones detrás de este aumento de ciberataques podría estar en la proliferación del malware como servicio o malware as a service (MaaS), como se denomina en inglés.

En este artículo explicaremos qué se entiende por malware as a service, cómo funciona y qué consecuencias tiene.

¿Qué es el Malware como servicio?

Es probable que si te hablamos de software como servicio (software as a service o SaaS), sepas que estamos hablando de una plataforma que ofrece una aplicación de software digital a cambio de pagar una suscripción, que incluye actualizaciones y mantenimiento.

El malware as a service (MaaS) funciona exactamente igual que una plataforma SaaS, pero en vez de ofrecer programas legítimos, lo que ofrece es proveer a sus clientes de malware y la infraestructura y recursos necesarios para llevar a cabo un ciberataque. Estas plataformas operan y ofertan sus servicios en la dark web, donde cualquier persona con unos conocimientos mínimos y a cambio de pagar una tasa, puede hacerse con un kit de malware listo para usar.

De la misma forma que un programa de una plataforma SaaS se mantiene actualizado y cuenta con soporte técnico, el MaaS también lo está. Existen así diferentes grupos dedicados a ofrecer sus servicios maliciosos a quienes «necesiten» llevar a cabo un ciberataque; puede ser un grupo de activistas atacando un servicio público o una empresa en particular, puede ser una compañía que quiere perjudicar a su competencia o puede ser un criminal en busca de hacer dinero o hasta un gobierno en un contexto de ciberguerra para atacar a otro país.

Lo cierto es que el malware como servicio puede poner al alcance de cualquiera sofisticadas herramientas maliciosas para alcanzar sus objetivos; desde virus para ataques genéricos hasta malware diseñados y personalizados para atacar objetivos concretos. Si se está dispuesto a pagar por ello, en las plataformas de MaaS podrán encontrarse diferentes tipos de malware para realizar un ciberataque, desde ataques DDoS hasta troyanos para desplegar ransomware.

Aparte del beneficio económico, también hay una cuestión de «ego», puesto que gracias a vender o alquilar sus programas maliciosos, consiguen llevar a cabo ataques a gran escala. Y, por otro lado, diluyen también la responsabilidad del delito.

¿Cómo funciona el malware as a service?

El MaaS funciona de la misma forma que el SaaS, tal y como hemos ido comentando en los puntos anteriores. Salvo que los grupos y plataformas detrás del malware como servicio se publicitan en la dark web, ofreciendo sus servicios de la misma manera en que lo hace una empresa dedicada al SaaS.

En función del tipo de herramientas o malware que proporcionen, lo habitual es que pongan a disposición de los interesados en hacerse con sus servicios, un kit de malware listo para usar, que incluye el código malicioso, las instrucciones para su despliegue y una interfaz de usuario para facilitar su uso. También suelen ofrecer actualizaciones e incluso soporte técnico. Lo único que debe hacer el cliente es pagar por ello.

Algunas plataformas también ofrecen kits de malware hechos a medida, es decir, según el objetivo que el cliente desee atacar.

Además, también es bastante frecuente el alquiler de granjas de bots (ordenadores infectados, que pueden ser controlados de forma remota) para que o bien el cliente los emplee con sus propios fines, o bien como parte del servicio.

Una vez que el cliente paga y recibe el kit, lo único que tiene que hacer es seguir las instrucciones para llevar a cabo el ciberataque. De esta manera, hasta un cibercriminal aficionado puede realizar un sofisticado ataque.

Antes de seguir, os recomendamos leer nuestro artículo sobre la diferencia entre hacker y cracker, puesto que son estos segundos los que suelen estar detrás de la creación de estas plataformas de MaaS.

Ecosistema del malware como servicio 

El malware as a service funciona como un ecosistema, donde encontramos diferentes actores e implicaciones del uso de este tipo de servicios:

– Desarrolladores de malware:

El papel que juegan los desarrolladores de malware es la creación o diseño de malware, exploits, así como investigaciones de seguridad de la información, para encontrar vulnerabilidades que puedan aprovechar.

Entre las razones que motivan a los desarrolladores de malware tenemos motivos económicos, el desafío que supone crear un malware, llevar a cabo algún tipo de venganza o activismo o ganancias sociales.

– Vendedores de malware:

Los vendedores de malware se dedican a diseminar y vender los productos de malware en la darknet, donde, además, buscan activamente a sus clientes. Lo habitual es que los vendedores ofrezcan dos tipos de categorías de productos:

  • Paquetes de malware de creación propia (kits con las herramientas necesarias para crear, personalizar e implementar un malware).
  • Servicios de administración alojados necesarios para propagar el malware (como, por ejemplo, granjas de bots).

– Compradores de malware:

El MaaS no sería un negocio tan lucrativo si no tuviera una clientela; los compradores de malware. Estos pueden dividirse en tres categorías:

  • Ciberdelincuentes que usarán el malware con fines maliciosos.
  • Investigadores de seguridad, que emplearán el malware para analizarlo y crear medidas de seguridad para contrarrestarlo.
  • Funcionarios gubernamentales, que pueden usar el malware adquirido contra otros países.

– Implicaciones:

Las implicaciones del malware as a service son varias y todas negativas:

  • Aumento de los ataques de malware: Para empezar supone un aumento de los ciberataques con malware, puesto que pone este a disposición de diferentes y numerosos actores, a cambio de un precio asequible y todo el proceso se desarrolla de manera automatizada, desde la identificación de objetivos, hasta la explotación y entrega del malware. Así mismo, el MaaS permite atacar a muchos más objetivos y sin necesidad de tener muchos conocimientos técnicos.
  • Explotación más rápida: La automatización del proceso que emplean estos servicios de malware, permite que la explotación del malware sea más rápida, lo que dificulta, por un lado, la detección temprana del ataque por parte de las víctimas, y, por otro lado, favorece que los cibercriminales logren antes sus objetivos.

– Mayor rango de víctimas de ataques: Puesto que en la mayoría de los casos, el MaaS recurre a una botnet para escanear internet en busca de equipos y dispositivos vulnerables a exploits, el rango de posibles víctimas aumenta, ya que las empresas grandes no serán los únicos objetivos de los cibercriminales, sino que las pequeñas y medianas empresas se sumarán a esa lista, siendo, además, las más vulnerables, puesto que en muchas ocasiones, estas empresas carecen de políticas de seguridad de la información y ciberseguridad y pueden operar con hardware y software desactualizados y vulnerables.

¿Qué consecuencias tiene el malware como servicio?

Probablemente, la peor consecuencia del malware como servicio sea el incremento de ciberataques que se producen en la actualidad, si cualquiera con un mínimo de conocimiento informático y el dinero para permitírselo, puede alquilar este tipo de servicios, es fácil ver una explicación a ese aumento de ataques cibernéticos (aunque no sea la única razón).

Esta propagación de troyanos, gusanos o virus a través del MaaS provocará también que las empresas y los particulares menos preparados para detectar y evitar este tipo de amenazas, sufran pérdidas económicas, bien por el robo de información o bien por el robo de dinero o el secuestro de archivos y equipos.

En definitiva, volverá un poco más peligroso el uso de Internet, pero eso no quiere decir que estemos indefensos ante el MaaS.

¿Cómo podemos protegernos del MaaS?

Para protegernos del MaaS debemos aplicar los mismos consejos y recomendaciones que usamos para evitar ser víctimas de cualquier tipo de malware, porque al final, la puerta de entrada casi siempre suele ser la misma, el descuido o la poca precaución del usuario (salvo que se trate de vulnerabilidades sobre las que este tiene poco control).

Así deberemos:

  • No abrir correos sospechosos, ni descargar archivos adjuntos o pulsar en enlaces que puedan contener.
  • No pulsar en ventanas emergentes o pop-ups cuando navegamos, especialmente si estamos en sitios no seguros (http://).
  • Evitar descargar archivos de sitios no oficiales, incluidas las aplicaciones de móvil.
  • Instalar un firewall y un antivirus y mantener estos actualizados.
  • Mantener todos los programas y el sistema operativo de los dispositivos actualizado siempre a su última versión.

Ejemplos de malware como servicio

Emotet es un nombre que a poco que sigáis noticias relacionadas con la ciberseguridad y el ransomware os sonará bastante. Emotet es una plataforma de malware as service desde la que se han lanzado ataques de ransomware y troyanos como TrickBot, y que ha estado bastante activa durante la pandemia de Covid-19. Se emplea especialmente para robar credenciales y cuentas de correo para realizar envíos masivos de correos fraudulentos (si quieres saber más sobre estos, no te pierdas nuestro artículo sobre qué es phishing).

Emotet funciona como la plataforma de lanzamiento de TrickBot, que de ser un troyano especializado en ataques al sector financiero, gracias a estar articulado en diferentes módulos, puede personalizarse para llevar a cabo diferentes tipos de ataques, especialmente los de ransomware as a service.

Otro ejemplo de malware distribuido desde una plataforma MaaS es Adwind RAT; este malware puede registrar pulsaciones de teclas, hacer capturas de pantalla, realizar fotos y vídeos con la webcam, grabar sonido con el micrófono, robar contraseñas, transferir archivos, etc.

16Shop fue un kit de ataques de phishing bastante «exitoso» en 2019; podía adquirirse como MaaS y se empleaba para atacar cuentas de Apple y Amazon sobre todo. Su interfaz permitía no solo desplegar el ataque, sino llevar un control sobre su progresión.