Ransomware as a service (RaaS): Qué es, cómo funciona y ejemplos

Tras ciberataques muy sonados en los últimos tiempos, la mayoría estamos familiarizados con el concepto de ransomware, pero es posible que nos suene mucho menos el término de ransomware as a service (RaaS). Sin embargo, este tipo de ataques ha ido aumentando significativamente desde 2020. En este artículo vamos a explicar en qué consiste el RaaS, cómo funciona y cómo podemos protegernos contra él.

En este artículo hablamos de:

¿Qué es el ransomware as a service (ransomware como servicio)?
¿Cómo funciona el ransomware como servicio?
Fases del ransomware as a service
Ejemplos de ataques de ransomware como servicio
Consecuencias del ransomware como servicio
¿Cómo protegerse de ataques RaaS?

¿Qué es el ransomware as a service (ransomware como servicio)?

El ransomware as service, o ransomware como servicio, es un tipo de servicio online no muy diferente al SaaS (software como servicio), con la diferencia de que en vez de ofrecernos programas legítimos para usar en nuestro trabajo o tareas diarias, lo que ofrecen son kits de malware para llevar a cabo un ataque de ransomware.

Es decir, un hacker o grupo de hackers desarrollan un virus ransomware o RaaS virus (capaz de encriptar todos o casi todos los archivos de una empresa o un particular y denegar su acceso a ellos hasta recibir un rescate a cambio) y lo ponen en venta o crean una estructura de afiliados en la dark web, de manera que cualquier persona, sin necesidad de tener grandes conocimientos técnicos, puede comprarlo o afiliarse y utilizarlo contra el objetivo elegido.

Así que el RaaS es un tipo malware as a service (MaaS), que funciona de manera muy similar a como lo haría un modelo de SaaS legítimo; se anuncian en la dark web y ofrecen soporte, un dashboard, ofertas, comentarios de otros usuarios, etc., todo a cambio de una cuota mensual y una comisión del rescate cobrado.

Teniendo en cuenta la cantidad de ataques de ransomware que se han producido en los últimos años, como los ataques sufridos por el SEPE (protagonizado por el ransomware Ryuk) o el Clínic de Barcelona, parece evidente que el ransomware-as-a-service seguirá siendo tendencia entre los ciberdelincuentes y una preocupación más para muchas empresas, especialmente porque, según han detectado algunas empresas de ciberseguridad, en los foros de la dark web relativos al RaaS, se buscan afiliados dentro de las propias empresas u organizaciones, lo que supone una seria amenaza interna, ya que un empleado podría convertirse en agente de acceso en el modelo RaaS a cambio de una compensación económica.

¿Cómo funciona el ransomware como servicio?

Los desarrolladores de ransomware ofrecen sus servicios anunciándose en la dark web, de manera que el RaaS funciona, principalmente, a través de cuatro formas posibles:

Pagando una suscripción mensual a cambio de usar el ransomware.
A través de programas de afiliación, donde aparte de la cuota mensual, se paga también una comisión de los beneficios del rescate.
A través de una licencia de un solo uso sin comisión.
Solo a través de comisiones, es decir, no hay cuota mensual o de entrada, pero los desarrolladores del ransomware se llevan una comisión por cada ataque exitoso y rescate recibido.

Las cuotas y las comisiones se pagan en criptomonedas y una vez suscritos al portal de RaaS, los clientes reciben información detallada para llevar a cabo el ciberataque. Algunos de estos portales ofrecen dashboards para que el cliente pueda monitorear el ataque, el número de archivos encriptados y otra información relativa a su objetivo.

El modelo de ransomware como servicio permite, como decíamos, que personas sin muchos conocimientos técnicos puedan llevar a cabo ataques sofisticados contra empresas o instituciones públicas de una manera relativamente sencilla. Y hablamos de un modelo de negocio en auge; de acuerdo a un informe elaborado por el Group-IB (una empresa de ciberseguridad), dos tercios de los ataques de ransomware llevados a cabo en 2020 fueron RaaS.

Fases del ransomware as a service

El funcionamiento del ransomware as a service puede dividirse en tres fases diferentes:

Creación: La primera fase es la de creación del ransomware, en la que, normalmente, un grupo de actores maliciosos desarrolla este tipo de malware y lo ponen a disposición de terceros a través de la dark web, adoptando uno de los modelos que hemos visto más arriba. Por lo tanto, estos creadores no se ocupan de la distribución del malware, lo que les permite centrarse en desarrollar actualizaciones para mejorar su ransomware.
Suscripción: En esta segunda fase, los terceros interesados en hacerse con un ransomware «listo» para ser usado, se suscribirán a un RaaS o adquirirán una licencia de un solo uso para desplegarlo. Estos suscriptores son los que van a distribuir el ransomware a gran escala.
Infección: La tercera fase es la de infección, que se puede producir de diferentes maneras, dependiendo del tipo de ransomware que se vaya a desplegar, si bien el punto de entrada más habitual sigue siendo el email, empleando técnicas de ingeniería social (como el phishing) para infectar el equipo de la víctima y desde ahí, extenderse por toda la red de la empresa. A esta vía, y cómo dijimos, antes también hay añadir el insider, un empleado de la organización que se ocupará de introducir el virus RaaS en la red interna de la empresa a través de alguno de los dispositivos a los que tenga acceso.
Chantaje: En la última fase, el cibercriminal envía un email a la víctima, informándole de que ha sido infectado con ransomware y que si quiere volver a tener acceso a sus archivos, deberá pagar un rescate a cambio, rescate que suele ser una suma elevada de dinero, que debe pagarse en criptomonedas. Además, es habitual que junto a la demanda de rescate, se amenace también con publicar la información a la que se ha tenido acceso en la dark web. Esta amenaza y la necesidad de recuperar el funcionamiento de la empresa lo antes posible, lleva a muchas compañías a pagar los rescates, lo que nunca se recomienda hacer, porque jamás se tiene la garantía de que se vayan a recuperar los archivos encriptados.

Ejemplos de ataques de ransomware como servicio

La competencia entre los proveedores de RaaS también ha aumentado y han aparecido nuevos grupos de afiliación que ofrecen este tipo de servicios a través de la dark web. Hay que tener en cuenta que es un tipo de «negocio» que se presenta como muy lucrativo para todas las partes implicadas en su puesta en marcha, ya que cuantos más afiliados o «clientes» distribuyan el ransomware, más ganancias potenciales se pueden obtener.

Actualmente, existen diferentes ransomware, y variantes de estos, empleados en el RaaS, siendo los más habituales:

Ransomware WannaCry
Ransomware Satan
Ransomware Egregor
Ransomware Ryuk
Ransomware Hostman
Ransomware Encryptor
Ransomware Alpha Locker
Ransomware Netwalker
Ransomware Cerber
Ransomware Petya
Ransomware FLUX

Aparte de los estos ransomware, a continuación podéis ver dos ejemplos de ransomware as a service ocurridos en años recientes.

El ransomware Dharma lleva disponible en la dark web desde, al menos, 2016. Se trata de un tipo de ransomware que emplea ataques muy similares, donde lo único que cambian son las claves de cifrado y los emails de contacto empleados para demandar el rescate (que suele situarse entre uno y cinco bitcoins). Los objetivos son variados, normalmente empresas. A día de hoy, no se sabe quién está detrás de este tipo de ataques.

El ransomware Sodinokibi, que ha protagonizado varias noticias relacionadas con este tipo de ciberataque (incluido el récord de la demanda de rescate más alta, con 10 millones de dólares), se vende como RaaS bajo un modelo de afiliación y comisión.

En este caso, la víctima recibe un aviso de haber sido infectada con Sodinokibi y de que sus archivos serán publicados para ser descargados, si no se paga el rescate antes del final de una fecha límite. Lo habitual es que el aviso se encuentre en un blog, donde una vez accede la víctima, comienza una cuenta atrás para realizar el pago de rescate antes de que los archivos se filtren en Internet.

ransomware as a service

Consecuencias del ransomware como servicio

Como ocurre con los ataques de ransomware, el ransomware como servicio puede causar graves daños económicos a las empresas u organizaciones que los sufren. No solo se trata del pago del rescate (algo que desaconsejan las autoridades), sino de la pérdida de aquellos archivos encriptados, de operatividad mientras el ransomware está activo en la red de la compañía y la posible publicación y exposición de información confidencial en la Red.

Cuando el objetivo de los ataques de RaaS son instituciones o servicios públicos, la ciudadanía en general también se ve afectada. Uno de los casos recientes y claro ejemplo de los problemas que puede provocar un ataque de ransomware lo tenemos con el ya citado ataque al SEPE en 2020, que estuvo semanas sin poder operar de manera adecuada. U hospitales que han visto como no pueden acceder a los archivos de sus pacientes y, por tanto, tuvieron que cancelar y posponer cirugías.

Las pérdidas económicas son una consecuencia grave para las empresas, pero estos ataques y la proliferación de más proveedores de ransomware as a service suponen una amenaza importante para el mantenimiento y prestación de servicios públicos importantes.

Por estas razones, es importante saber prevenir y protegernos de estos ataques.

¿Cómo protegerse de ataques RaaS?

Protegerse de ataques RaaS es igual que protegerse un ataque de ransomware cualquiera.

Lo primero es contar con un sistema de copias de seguridad que se actualicen con regularidad y que puedan emplearse para recuperar todos los archivos que puedan verse afectados por un ataque RaaS. Además, es imprescindible que esas copias de seguridad o sistemas de respaldo no estén almacenadas en el mismo sitio y no se encuentren online, para que de esa forma no se vean afectadas por un virus que pueda acceder a la red interna de la compañía u organización.

Segundo, implementar sistemas de antivirus y firewall continuamente actualizados para enfrentar nuevas amenazas que vayan surgiendo. Junto a eso, segmentar la red interna y establecer diferentes niveles de acceso ayudará a frenar la propagación de cualquier virus. Así mismo, se recomienda adoptar y aplicar modelos de seguridad zero trust, como prevención contra posibles insiders.

Tercero, mantener actualizados equipos y software, para evitar ser víctimas de vulnerabilidades conocidas.

Cuarto, formar a la plantilla en ciberseguridad, para que sean capaces de reconocer emails fraudulentos e intentos de phishing, así como otros tipos de ciberamenazas. Las personas suelen ser el punto más débil de la cadena en lo que a ciberseguridad se refiere, por lo que contar con conocimientos sobre esta materia, puede ahorrarnos problemas en el futuro.

Finalmente, contar con un servicio de ciberseguridad interno o externo puede ayudar a minimizar las amenazas, ya que no solo monitorearán el estado de la red y se ocuparán de implantar las medidas de seguridad necesarias, sino que también llevarán a cabo revisiones de seguridad en busca de posibles vulnerabilidades y problemas de ciberseguridad en el sistema, equipos o software empleados por la compañía.