Tras ciberataques muy sonados en los últimos tiempos, la mayoría estamos familiarizados con el concepto de ransomware, pero es posible que nos suene mucho menos el término de ransomware as a service (RaaS). Sin embargo, este tipo de ataques ha ido aumentando significativamente desde 2020. En este artículo vamos a explicar en qué consiste el RaaS, cómo funciona y cómo podemos protegernos contra él.
En este artículo hablamos de:
¿Qué es el ransomware as a service (ransomware como servicio)?
El ransomware as service, o ransomware como servicio, es un tipo de servicio online no muy diferente al SaaS (software como servicio), con la diferencia de que en vez de ofrecernos programas legítimos para usar en nuestro trabajo o tareas diarias, lo que ofrecen son kits de malware para llevar a cabo un ataque de ransomware.
Es decir, un hacker o grupo de hackers desarrollan un virus ransomware o RaaS virus (capaz de encriptar todos o casi todos los archivos de una empresa o un particular y denegar su acceso a ellos hasta recibir un rescate a cambio) y lo ponen en venta o crean una estructura de afiliados en la dark web, de manera que cualquier persona, sin necesidad de tener grandes conocimientos técnicos, puede comprarlo o afiliarse y utilizarlo contra el objetivo elegido.
Así que el RaaS es un tipo malware as a service (MaaS), que funciona de manera muy similar a como lo haría un modelo de SaaS legítimo; se anuncian en la dark web y ofrecen soporte, un dashboard, ofertas, comentarios de otros usuarios, etc., todo a cambio de una cuota mensual y una comisión del rescate cobrado.
Teniendo en cuenta la cantidad de ataques de ransomware que se han producido en los últimos años, como los ataques sufridos por el SEPE (protagonizado por el ransomware Ryuk) o el Clínic de Barcelona, parece evidente que el ransomware-as-a-service seguirá siendo tendencia entre los ciberdelincuentes y una preocupación más para muchas empresas, especialmente porque, según han detectado algunas empresas de ciberseguridad, en los foros de la dark web relativos al RaaS, se buscan afiliados dentro de las propias empresas u organizaciones, lo que supone una seria amenaza interna.
¿Cómo funciona el ransomware como servicio?
Los desarrolladores de ransomware ofrecen sus servicios anunciándose en la dark web, de manera que el RaaS funciona, principalmente, a través de cuatro formas posibles:
- Pagando una suscripción mensual a cambio de usar el ransomware.
- A través de programas de afiliación, donde aparte de la cuota mensual, se paga también una comisión de los beneficios del rescate.
- A través de una licencia de un solo uso sin comisión.
- Solo a través de comisiones, es decir, no hay cuota mensual o de entrada, pero los desarrolladores del ransomware se llevan una comisión por cada ataque exitoso y rescate recibido.
Las cuotas y las comisiones se pagan en criptomonedas y una vez suscritos al portal de RaaS, los clientes reciben información detallada para llevar a cabo el ciberataque. Algunos de estos portales ofrecen dashboards para que el cliente pueda monitorear el ataque, el número de archivos encriptados y otra información relativa a su objetivo.
El modelo de ransomware como servicio permite, como decíamos, que personas sin muchos conocimientos técnicos puedan llevar a cabo ataques sofisticados contra empresas o instituciones públicas de una manera relativamente sencilla. Y hablamos de un modelo de negocio en auge; de acuerdo a un informe elaborado por el Group-IB (una empresa de ciberseguridad), dos tercios de los ataques de ransomware llevados a cabo den 2020 fueron RaaS.
¿Cómo se produce un ataque de RaaS?
Un ataque de RaaS se produce de la misma forma que un ataque de ransomware; la diferencia está en que en vez de llevarlo a cabo quien ha desarrollado el RaaS virus, lo hace quien ha contratado el servicio, siguiendo la guía para su despliegue que le ha proporcionado el desarrollador o desarrolladores.
Así, el punto de entrada más habitual para un ataque de ransomware sigue siendo el email; a través de técnicas de ingeniería social (como el phishing), consiguen infectar el equipo de la víctima y desde ahí, el virus se va extendiendo por toda la red de la empresa, encriptando archivos, haciendo imposible poder acceder a ellos.
También, cómo hemos adelantado, se puede recurrir a un insider, un empleado de la organización que se ocupe de introducir el virus RaaS en la red interna de la empresa a través de alguno de los dispositivos a los que tenga acceso. Este tipo de amenaza es de las más serias, especialmente porque las medidas de seguridad están, casi siempre, más enfocadas a vigilar el perímetro, que el interior.
El siguiente paso es enviar un email a la víctima, informándole de que ha sido infectado con ransomware y que si quiere volver a tener acceso a sus archivos, deberá pagar un rescate a cambio, rescate que suele ser una suma elevada de dinero, que debe pagarse en criptomonedas. Además, es habitual que junto a la demanda de rescate, se amenace también con publicar la información a la que se ha tenido acceso en la dark web. Esta amenaza y la necesidad de recuperar el funcionamiento de la empresa lo antes posible, lleva a muchas compañías a pagar los rescates.
Ransomware más utilizados en RaaS
La competencia entre los proveedores de RaaS también ha aumentado y han aparecido nuevos grupos de afiliación que ofrecen este tipo de servicios a través de la dark web. Durante la pandemia de Covid-19, debido a la implementación del teletrabajo, se vivió un incremento en el número de este tipo de ataques, puesto que mucha gente, al principio, trabajaba desde casa a través de equipos poco protegidos.
Hay que tener en cuenta que es un tipo de «negocio» se presenta como muy lucrativo para todas las partes implicadas en su puesta en marcha, ya que cuantos más afiliados o «clientes» distribuyan el ransomware, más ganancias potenciales se pueden obtener.
Para llevar a cabo estos ataques de RaaS, las variantes de virus más habituales empleadas son, entre otros:
- Ransomware WannaCry
- Ransomware Satan
- Ransomware Egregor
- Ransomware Ryuk
- Ransomware Hostman
- Ransomware Encryptor
- Ransomware Alpha Locker
- Ransomware Netwalker
- Ransomware Cerber
- Ransomware Petya
- Ransomware FLUX
Ejemplos de ransomware as a service
Ya hemos visto qué es y cómo funciona el RaaS y algunos de los virus que se emplean para llevar a cabo estos ataques. A continuación veremos dos ejemplos de ransomware as a service ocurridos en años recientes.
El ransomware Dharma lleva disponible en la dark web desde, al menos, 2016. Se trata de un tipo de ransomware que emplea ataques muy similares, donde lo único que cambian son las claves de cifrado y los emails de contacto empleados para demandar el rescate (que suele situarse entre uno y cinco bitcoins). Los objetivos son variados, normalmente empresas. A día de hoy, no se sabe quién está detrás de este tipo de ataques.
El ransomware Sodinokibi, que ha protagonizado varias noticias relacionadas con este tipo de ciberataque (incluido el récord de la demanda de rescate más alta, con 10 millones de dólares), se vende como RaaS bajo un modelo de afiliación y comisión.
En este caso, la víctima recibe un aviso de haber sido infectada con Sodinokibi y de que sus archivos serán publicados para ser descargados, si no se paga el rescate antes del final de una fecha límite. Lo habitual es que el aviso se encuentre en un blog, donde una vez accede la víctima, comienza una cuenta atrás para realizar el pago de rescate antes de que los archivos se filtren en Internet.
Consecuencias del ransomware como servicio
Como ocurre con los ataques de ransomware, el ransomware como servicio puede causar graves daños económicos a las empresas u organizaciones que los sufren. No solo se trata del pago del rescate (algo que desaconsejan las autoridades), sino de la pérdida de aquellos archivos encriptados, de operatividad mientras el ransomware está activo en la red de la compañía y la posible publicación y exposición de información confidencial en la Red.
Cuando el objetivo de los ataques de RaaS son instituciones o servicios públicos, la ciudadanía en general también se ve afectada. Uno de los casos recientes y claro ejemplo de los problemas que puede provocar un ataque de ransomware lo tenemos con el ya citado ataque al SEPE en 2020, que estuvo semanas sin poder operar de manera adecuada. U hospitales que han visto como no pueden acceder a los archivos de sus pacientes y, por tanto, tuvieron que cancelar y posponer cirugías.
Las pérdidas económicas son una consecuencia grave para las empresas, pero estos ataques y la proliferación de más proveedores de ransomware as a service suponen una amenaza importante para el mantenimiento y prestación de servicios públicos importantes.
Por estas razones, es importante saber prevenir y protegernos de estos ataques.
¿Cómo protegerse de ataques RaaS?
Protegerse de ataques RaaS es igual que protegerse un ataque de ransomware cualquiera.
Lo primero es contar con un sistema de copias de seguridad que se actualicen con regularidad y que puedan emplearse para recuperar todos los archivos que puedan verse afectados por un ataque RaaS. Además, es imprescindible que esas copias de seguridad o sistemas de respaldo no estén almacenadas en el mismo sitio y no se encuentren online, para que de esa forma no se vean afectadas por un virus que pueda acceder a la red interna de la compañía u organización.
Segundo, implementar sistemas de antivirus y firewall continuamente actualizados para enfrentar nuevas amenazas que vayan surgiendo. Junto a eso, segmentar la red interna y establecer diferentes niveles de acceso ayudará a frenar la propagación de cualquier virus. Así mismo, se recomienda adoptar y aplicar modelos de seguridad zero trust, como prevención contra posibles insiders.
Tercero, mantener actualizados equipos y software, para evitar ser víctimas de vulnerabilidades conocidas.
Cuarto, formar a la plantilla en ciberseguridad, para que sean capaces de reconocer emails fraudulentos e intentos de phishing, así como otros tipos de ciberamenazas. Las personas suelen ser el punto más débil de la cadena en lo que a ciberseguridad se refiere, por lo que contar con conocimientos sobre esta materia, puede ahorrarnos problemas en el futuro.
Finalmente, contar con un servicio de ciberseguridad interno o externo puede ayudar a minimizar las amenazas, ya que no solo monitorearán el estado de la red y se ocuparán de implantar las medidas de seguridad necesarias, sino que también llevarán a cabo revisiones de seguridad en busca de posibles vulnerabilidades y problemas de ciberseguridad en el sistema, equipos o software empleados por la compañía.