Uno de los cambios más profundos en el panorama empresarial moderno ha sido el cambio gradual hacia la Economía de Suscripción. En años pasados, entregaste tu dinero duramente ganado y, a cambio, recibiste un producto o servicio que era tuyo para conservar. Ahora, tanto las empresas como los consumidores abandonan el enfoque tradicional de pago por producto en favor del modelo de servicio as-a-service, un acuerdo que ofrece una mayor flexibilidad para los consumidores y un ingreso más predecible y estable para las empresas. En la mayoría de los casos, es una experiencia mejor para todos los involucrados.

Lamentablemente, Netflix y Spotify no solo han adoptado esta forma de ofrecer sus servicios. En los oscuros recovecos del inframundo digital, los autores de malware anuncian suscripciones de ransomware que los compradores adquieren rápidamente con motivos inescrupulosos. Un fenómeno relativamente reciente, Ransomware as a Service (RaaS), permite a cualquier persona con conexión a Internet, independientemente de su conocimiento técnico, comprar un poderoso ransomware a través de la Dark Web y realizar devastadores ataques de encriptación contra los objetivos de su elección.

¿Cómo funciona Ransomware-as-a-Service?

Ransomware en sí es un tipo especial de malware que está diseñado para encriptar sus archivos y hacerlos inaccesibles hasta que ahorre una suma de efectivo (generalmente en forma de bitcoin u otra criptomoneda). Puede obtener más información sobre cómo funciona el ransomware en nuestra publicación de blog anterior.

En el pasado, solo aquellos con fuertes habilidades técnicas podían ejecutar un exitoso ataque de ransomware, pero Ransomware-as-a-Service ha cambiado todo gracias a la proliferación de kits de ransomware fáciles de usar, que contienen todo lo que uno podría necesitar para lanzar un exitoso ataque de ransomware

Estos kits suelen estar alojados en portales enterrados en la Dark Web, donde los compradores pueden "instalar" de forma segura el ransomware lejos de las miradas indiscretas. Muchos kits RaaS no requieren un costo inicial para usar o implementar; en cambio, el autor recibe una comisión (típicamente del 20 al 40 por ciento) de cualquier ganancia ilegal, lo que convierte a RaaS, para todos los efectos, en un plan de afiliados. Esto lo convierte en un modelo comercial lucrativo para compradores y autores de ransomware, ya que ambas partes pueden sacar provecho del ransomware de forma continua.

Después de obtener acceso a un kit RaaS, los compradores deben distribuirlo de manera independiente o a través de un servicio pago. Los vectores de ataque pueden tomar muchas formas, siendo el phishing uno de los métodos más comunes debido a la facilidad con que los usuarios desprevenidos harán clic en enlaces externos y ejecutarán programas desconocidos.

Alternativamente, los compradores del kit RaaS pueden buscar sistemas con un protocolo de escritorio remoto sin protección comprando una lista de máquinas vulnerables o escaneando Internet para ellas usando herramientas ampliamente disponibles. El proceso RaaS podría verse más o menos así:

1. Los autores de malware crean un kit RaaS para un grupo de delito cibernético.

2. El grupo promueve el kit RaaS en Dark Web y otras plataformas.

3. El comprador compra el kit RaaS.

4. El comprador distribuye el ransomware por su cuenta o con la ayuda de un servicio de distribución dedicado. Si tiene éxito, los objetivos están infectados.

Ejemplos de infame Ransomware-as-a-Service

Satan

Descubierto por primera vez a principios de 2017, Satan RaaS permite a los afiliados crear y desplegar fácilmente su propio ransomware en cuestión de minutos. Satan RaaS es de uso gratuito, pero los autores de ransomware reciben un recorte del 30 por ciento de cualquier ganancia obtenida ilegalmente. Satan RaaS es particularmente notable por su facilidad de uso, interfaz gráfica de usuario de aspecto profesional que presenta opciones de personalización sencillas, consejos prácticos de distribución e incluso un panel de indicadores donde los usuarios pueden realizar un seguimiento de las tasas de infección, rescate generado y más.

Philadelphia

Philadelphia paga el modelo de suscripción y en su lugar se puede comprar directamente con un costo inicial único de $ 389. En lo que respecta al ransomware comercial, este es definitivamente el lado más caro, pero los desarrolladores de Filadelfia lo justifican al proporcionar un conjunto de características profesionales que rivaliza con la mayoría del software legítimo. Los compradores de Filadelfia obtienen acceso a una interfaz intuitiva, acceso de por vida, la capacidad de generar muestras de ransomware ilimitadas y soporte continuo y actualizaciones.

Cerber

Distribuido a través de un foro ruso clandestino, Cerber es uno de los ejemplos más infames de RaaS hasta la fecha. En junio de 2016, una iteración temprana de Cerber causó dolores de cabeza masivos para Microsoft cuando millones de usuarios de Office 365 estuvieron expuestos al ransomware. Más tarde, en septiembre de 2017, se descubrió que un sitio web gubernamental de EE. UU. Tenía un programa de descarga de JavaScript que entregaba Cerber. A diferencia de algunos ransomware, Cerber no depende de la comunicación de red para funcionar, lo que significa que incluso las máquinas fuera de línea que se han infectado corren el riesgo de cifrar sus archivos.

MacRansom

MacRansom pone fin al rumor persistente de que MacOS es, de alguna manera, invulnerable al malware. En junio de 2017, los investigadores detectaron portales en la Web oscura que vendían MacRansom, ransomware que, a diferencia de la gran mayoría del ransomware, apunta específicamente a los usuarios de Mac OS. Los afiliados mantienen un recorte del 30 por ciento de los rescates generados, y el resto se dirige a los autores del ransomware. Curiosamente, MacRansom es bastante primitivo en comparación con muchas variantes de Windows ransomware y requiere mucha aportación manual del autor, por lo que es mucho menos eficiente que otros RaaS.

El auge de Ransomware-as-a-Service

No es ningún secreto que los ataques de ransomware han estallado en popularidad en los últimos tiempos. De hecho, como informó SonicWall, el número de ataques de ransomware aumentó unas 167 veces en el transcurso de un año, pasando de 3,8 millones en 2015 a 638 millones en 2016.

La creciente disponibilidad de RaaS es en gran parte culpable de esta alarmante tendencia. Impulsado por el gran potencial de ganancias, en 2016 surgieron casi un cuarto de millón de nuevas variantes de ransomware, que ayudaron a los ciberdelincuentes a generar aproximadamente mil millones de dólares mediante el uso de ransomware. Mientras tanto, la demanda promedio de ransomware se triplicó con creces, al pasar de $294 en 2015 a $ 1,077 en 2016.

Como los rescates han crecido, también lo han hecho las expectativas de los afiliados de RaaS. Si bien el ransomware de antaño era técnicamente difícil de implementar para la persona promedio, RaaS se ha vuelto cada vez más accesible y fácil de usar para satisfacer las necesidades de los delincuentes que pueden no estar tecnológicamente inclinados. Impulsado por ransomware como Spora, cuya interfaz y funcionalidad se asemeja a la del software profesional, algunas RaaS modernas están bellamente diseñadas, son intuitivas e incluso cuentan con prácticas guías de ayuda.

La forma en que se comercializa RaaS también se ha vuelto más avanzada. Una vez confinados a la Dark Web, los grupos de malware se vuelven cada vez más descarados en lo que respecta a las tácticas de marketing y han comenzado a invadir la Surface Web (la parte de Internet que los usuarios comunes habitan).

Por ejemplo, parte de la campaña promocional de Filadelfia incluyó un video introductorio de YouTube de alta calidad que destaca todas las características del ransomware y cómo pueden comenzar los nuevos usuarios. Del mismo modo, el autor (es) de Karmen lanzó un breve video instructivo de YouTube que muestra el ransomware en acción. Véalo usted mismo en el siguiente video de YouTube de Recorded Future, quien volvió a crear el video y eliminó los enlaces al ransomware.

¿Cuáles son los riesgos para las empresas?

Las empresas de todos los tamaños se enfrentan a un riesgo cada vez mayor a medida que RaaS se vuelve más accesible, pero no es el rescate en sí mismo el que causa la muerte: es el tiempo de inactividad. Aproximadamente 1 de cada 6 infecciones de ransomware resultan en más de 25 horas de inactividad, de acuerdo con las cifras recopiladas en un informe reciente de la industria, y algunas organizaciones informan interrupciones que duran más de 100 horas. Incapaz de realizar ventas, proporcionar soporte o hablar con clientes potenciales, es fácil ver cómo RaaS puede costar indirectamente a las pequeñas y medianas empresas decenas de miles de dólares en ingresos perdidos.

Debido a que los ataques RaaS se usan comúnmente para apuntar a empresas o industrias específicas con el fin de maximizar las ganancias, algunos sectores tienen un riesgo innato mucho mayor que otros. De hecho, según una investigación de Dimension Data, cuatro industrias representan el 77 por ciento de todos los ataques de ransomware:

• Servicios Profesionales y de Negocios (28%)

• Gobierno (19%)

• Cuidado de la salud (15%)

• Minorista (23%)

Si opera en uno de estos sectores, es vital que esté especialmente atento para minimizar el riesgo de convertirse en víctima de un ataque RaaS.

Cómo proteger a su empresa de los ataques de ransomware

Al igual que con todos los tipos de malware, al fortalecer su sistema contra los ataques de uno de los muchos ransomware como un servicio de afiliados, es aconsejable adoptar un enfoque múltiple, que incluye:

Backup

Adoptar un enfoque proactivo para RaaS es una buena forma de minimizar el riesgo de infección, pero para una mayor tranquilidad, debe saber que puede restaurar rápidamente su sistema en caso de un ataque.

Ahí es donde entran las copias de seguridad. Tanto el almacenamiento en la nube como el físico son muy asequibles en la actualidad, lo que significa que realmente no hay excusas para no realizar copias de seguridad periódicas. Para una mayor tranquilidad, recomendamos respetar la regla 3-2-1:

Mantenga al menos tres copias de datos en al menos dos tipos diferentes de almacenamiento, al menos uno de los cuales debe almacenarse fuera de las instalaciones. En un mundo perfecto, todas estas copias serían idénticas y se actualizarían regularmente (en tiempo real, idealmente).

Formación de los empleados

Contando con casi 3 de cada 4 ataques de malware, el phishing es un vector de ataque increíblemente popular y RaaS no es una excepción. Con esto en mente, una de las cosas más importantes que puede hacer para proteger su organización de RaaS es poner a todos sus empleados al día sobre las mejores prácticas de seguridad para usar cuando navega por la web y verifica sus correos electrónicos.

Brindar al personal el apoyo que necesitan para aprender cómo identificar mensajes sospechosos y alentarlos a evitar enlaces potencialmente peligrosos y archivos adjuntos de correo electrónico puede ayudar a reducir el riesgo de una infección por RaaS.

Puede encontrar una amplia gama de tutoriales y cómo hacerlo en nuestro blog, ¡incluida nuestra excelente guía antiphishing!

Antivirus que usa bloqueo de comportamiento

Las nuevas variantes RaaS se lanzan a un ritmo tan rápido que simplemente no es posible que los productos antivirus que dependen únicamente de una base de datos de firmas los atrape a todos. Como tal, es importante usar software de seguridad de TI que incorpore tecnología de bloqueo de comportamiento en sus mecanismos de defensa.

Al controlar su sistema y detectar comportamientos sospechosos que pueden ser causados ​​por software malicioso, Emsisoft Anti-Malware puede identificar todos los tipos de ransomware y detener el programa de culpabilidad antes de que pueda poner un dedo en sus archivos.

Los servicios de Ransomware llegaron para quedarse

La economía de suscripción ha marcado el comienzo de una nueva era de conveniencia y flexibilidad, y ransomware. A medida que RaaS se vuelve más accesible, incluso los delincuentes con la menor mentalidad técnica tienen los medios para desplegar ataques de ransomware dirigidos contra organizaciones y consumidores de todo el mundo. Sin embargo, al ser proactivo y utilizar las mejores prácticas de seguridad y respaldo, puede maximizar sus posibilidades de mantener su negocio seguro.

#RDPAtaques #Phishing #Ransomware #Raas