Tras ciberataques muy sonados en los últimos tiempos, la mayoría estamos familiarizados con el concepto de ransomware, pero es posible que nos suene mucho menos el término de ransomware as a service (RaaS). Sin embargo, este tipo de ataques ha aumentado significativamente en 2020. En este artículo vamos a explicar en qué consiste el RaaS, cómo funciona y cómo podemos protegernos contra él.
En este artículo hablamos de:
¿Qué es el ransomware as a service (RaaS)?
El ransomware as a service es un tipo de servicio no muy diferente al SaaS (software as a service), con la diferencia de que en vez de ofrecernos programas legítimos para usar en nuestro trabajo o tareas diarias, lo que ofrecen son kits de malware para llevar a cabo un ataque de ransomware.
Es decir, un hacker o grupo de hackers desarrollan un virus ransomware (capaz de encriptar todos o casi todos los archivos de una empresa o un particular y denegar su acceso a ellos hasta recibir un rescate a cambio) y lo ponen a la venta en la dark web, de manera que cualquier persona, sin necesidad de tener grandes conocimientos técnicos, puede comprarlo y utilizarlo contra el objetivo que haya elegido.
Así que el RaaS es un tipo malware as a service (MaaS), que funciona de manera muy similar a como lo haría un modelo de SaaS legítimo; se anuncian en la dark web y ofrecen soporte, un dashboard, ofertas, comentarios de otros usuarios, etc., todo a cambio de una cuota mensual y una comisión del rescate cobrado.
Teniendo en cuenta la cantidad de ataques de ransomware que se han producido solo en 2020, como el ataque al SEPE con el ransomware Ryuk, parece evidente que el ransomware as a service en 2021 seguirá siendo tendencia entre los ciberdelincuentes y una preocupación más para muchas empresas.
¿Cómo funciona el RaaS?
Los desarrolladores de ransomware ofrecen sus servicios anunciándose en la dark web, de manera que el RaaS funciona, principalmente, a través de cuatro formas posibles:
- Pagando una suscripción mensual a cambio de usar el ransomware.
- A través de programas de afiliación, donde aparte de la cuota mensual, se paga también una comisión de los beneficios del rescate.
- A través de una licencia de un solo uso sin comisión.
- Solo a través de comisiones, es decir, no hay cuota mensual o de entrada, pero los desarrolladores del ransomware se llevan una comisión por cada ataque exitoso y rescate recibido.
Las cuotas y las comisiones se pagan en criptomonedas y una vez suscritos al portal de RaaS, los clientes reciben información detallada para llevar a cabo el ciberataque. Algunos de estos portales ofrecen dashboards para que el cliente pueda monitorear el ataque, el número de archivos encriptados y otra información relativa a su objetivo.
Este modelo permite, como decíamos, que personas sin muchos conocimientos técnicos puedan llevar a cabo ataques sofisticados contra empresas o instituciones públicas de una manera relativamente sencilla. Y hablamos de un modelo de negocio en auge; de acuerdo a un informe elaborado por el Group-IB (una empresa de ciberseguridad), dos tercios de los ataques de ransomware llevados a cabo den 2020 fueron RaaS.
¿Cómo se produce un ataque de Ransomware as a service?
Un ataque de ransomware as a service se produce de la misma forma que un ataque de ransomware; la diferencia está en que en vez de llevarlo a cabo quien ha desarrollado el el virus, lo hace quien ha contratado el servicio, siguiendo la guía para su despliegue que le ha proporcionado el desarrollador o desarrolladores.
Así, el punto de entrada más habitual para un ataque de ransomware sigue siendo el email; a través de técnicas de phishing, consiguen infectar el equipo de la víctima y desde ahí, el virus se va extendiendo por toda la red de la empresa, encriptando archivos, haciendo imposible poder acceder a ellos.
El siguiente paso es enviar un email a la víctima, informándole de que ha sido infectado con ransomware y que si quiere volver a tener acceso a sus archivos, deberá pagar un rescate a cambio, rescate que suele ser una suma elevada de dinero, que debe pagarse en criptomonedas. Además, es habitual que junto a la demanda de rescate, se amenace también con publicar la información a la que se ha tenido acceso en la dark web. Esta amenaza y la necesidad de recuperar el funcionamiento de la empresa lo antes posible, lleva a muchas compañías a pagar los rescates.
Ransomware más utilizados en RaaS
La competencia entre los proveedores de RaaS también ha aumentado y han aparecido nuevos grupos de afiliación que ofrecen este tipo de servicios a través de la dark web. La pandemia de Covid-19 y la implantación del teletrabajo también han facilitado el crecimiento en el número de este tipo de ataques, puesto que mucha gente trabaja desde casa a través de equipos poco protegidos.
Hay que tener en cuenta que es un tipo de «negocio» que se presenta como muy lucrativo para todas las partes implicadas en su puesta en marcha; solo en 2020, se estima que se pagaron en torno a 20 billones de dólares en rescates de este tipo de virus.
Para llevar a cabo estos ataques de RaaS, las variantes de virus más habituales empleadas son el ransomware WannaCry, Satan, Egregor, Ryuk, Hostman, Encryptor, Alpha Locker, Netwalker, Cerber, Petya o FLUX, entre otros.
Ejemplos de ransomware as a service
Ya hemos visto qué es y cómo funciona el RaaS y algunos de los virus que se emplean para llevar a cabo estos ataques. A continuación veremos dos ejemplos de ransomware as a service ocurridos en años recientes.
El ransomware Dharma lleva disponible en la dark web desde, al menos, 2016. Se trata de un tipo de ransomware que emplea ataques muy similares, donde lo único que cambian son las claves de cifrado y los emails de contacto empleados para demandar el rescate (que suele situarse entre uno y cinco bitcoins). Los objetivos son variados, normalmente empresas. A día de hoy, no se sabe quién está detrás de este tipo de ataques.
El ransomware Sodinokibi, que ha protagonizado varias noticias relacionadas con este tipo de ciberataque (incluido el récord de la demanda de rescate más alta, con 10 millones de dólares), se vende como RaaS bajo un modelo de afiliación y comisión.
En este caso, la víctima recibe un aviso de haber sido infectada con Sodinokibi y de que sus archivos serán publicados para ser descargados, si no se paga el rescate antes del final de una fecha límite. Lo habitual es que el aviso se encuentre en un blog, donde una vez accede la víctima, comienza una cuenta atrás para realizar el pago de rescate antes de que los archivos se filtren en Internet.
Consecuencias del Ransomware as a service
Como ocurre con los ataques de ransomware, el RaaS puede causar graves daños económicos a las empresas u organizaciones que los sufren. No solo se trata del pago del rescate (algo que desaconsejan las autoridades), sino de la pérdida de aquellos archivos encriptados, de operatividad mientras el ransomware está activo en la red de la compañía y la posible publicación y exposición de información confidencial en la Red.
Cuando el objetivo de los ataques de RaaS son instituciones o servicios públicos, la ciudadanía en general también se ve afectada. Uno de los casos recientes y claro ejemplo de los problemas que puede provocar un ataque de ransomware lo tenemos con el ya citado ataque al SEPE, que estuvo semanas sin poder operar de manera adecuada. O algunos hospitales que vieron como no podían acceder a los archivos de sus pacientes y, por tanto, tuvieron que cancelar y posponer cirugías.
Las pérdidas económicas son una consecuencia grave para las empresas, pero estos ataques y la proliferación de más proveedores de ransomware as a service suponen una amenaza importante para el mantenimiento y prestación de servicios públicos importantes.
Por estas razones, es importante saber prevenir y protegernos de estos ataques.
¿Cómo protegerse de ataques RaaS?
Protegerse de ataques RaaS es igual que protegerse un ataque de ransomware cualquiera.
Lo primero es contar con un sistema de copias de seguridad que se actualicen con regularidad y que puedan emplearse para recuperar todos los archivos que puedan verse afectados por un ataque RaaS. Además, es imprescindible que esas copias de seguridad o sistemas de respaldo no estén almacenadas en el mismo sitio y no se encuentren online, para que de esa forma no se vean afectadas por un virus que pueda acceder a la red interna de la compañía u organización.
Segundo, implementar sistemas de antivirus y firewall continuamente actualizados para enfrentar nuevas amenazas que vayan surgiendo. Junto a eso, segmentar la red interna y establecer diferentes niveles de acceso ayudará a frenar la propagación de cualquier virus.
Tercero, mantener actualizados equipos y software, para evitar ser víctimas de vulnerabilidades conocidas.
Cuarto, formar a la plantilla en ciberseguridad, para que sean capaces de reconocer emails fraudulentos e intentos de phishing, así como otros tipos de ciberamenazas. Las personas suelen ser el punto más débil de la cadena en lo que a ciberseguridad se refiere, por lo que contar con conocimientos sobre esta materia, puede ahorrarnos problemas en el futuro.
Finalmente, contar con un servicio de ciberseguridad interno o externo puede ayudar a minimizar las amenazas, ya que no solo monitorearán el estado de la red y se ocuparán de implantar las medidas de seguridad necesarias, sino que también llevarán a cabo revisiones de seguridad en busca de posibles vulnerabilidades y problemas de ciberseguridad en el sistema, equipos o software empleados por la compañía.