Ransomware como Servicio: Comercialización de Ransomware
Uno de los cambios más profundos en el panorama empresarial moderno ha sido el cambio gradual a la economía de suscripción. En años pasados, entregó el dinero que tanto le costó ganar y, a cambio, recibió un producto o servicio que era suyo para conservar. Ahora, tanto las empresas como los consumidores están abandonando el enfoque tradicional de pago por producto a favor del modelo como servicio, un acuerdo que ofrece una mayor flexibilidad para los consumidores y un ingreso más predecible y estable para las empresas. En la mayoría de los casos, es una mejor experiencia integral para todos los involucrados.
Lamentablemente, no solo Netflix y Spotify han adoptado esta forma de ofrecer sus servicios. En los oscuros recovecos del inframundo digital, los autores de malware suscriben suscripciones de ransomware que los compradores obtienen rápidamente con motivos sin escrúpulos. Un fenómeno relativamente reciente, Ransomware as a Service (RaaS) permite a cualquier persona con conexión a Internet, independientemente de su conocimiento técnico, comprar un poderoso ransomware a través de Dark Web y llevar a cabo ataques de encriptación devastadores contra los objetivos de su elección.
¿Cómo funciona el Ransomware como servicio?
El ransomware en sí es un tipo especial de malware que está diseñado para cifrar sus archivos y hacerlos inaccesibles hasta que desembolse una suma de dinero en efectivo (generalmente en forma de bitcoin u otra criptomoneda). Puede obtener más información sobre cómo funciona el ransomware en nuestra publicación de blog anterior aquí.
En el pasado, solo aquellos con fuertes habilidades técnicas podían ejecutar un ataque de ransomware exitoso, pero Ransomware-as-a-Service ha cambiado todo eso gracias a la proliferación de kits de ransomware fáciles de usar, que contienen todo lo que uno podría necesitar para lanzar un exitoso ataque de ransomware.
Estos kits generalmente se alojan en portales enterrados en la Web oscura, donde los compradores pueden implementar "con seguridad" el ransomware lejos de miradas indiscretas. Muchos kits RaaS no requieren ningún costo inicial para su uso o implementación; en cambio, el autor recibe una comisión (típicamente del 20-40 por ciento) de cualquier ganancia ilegal, convirtiendo RaaS, para todos los efectos, en un esquema de afiliación. Esto lo convierte en un modelo de negocio lucrativo para compradores y autores de ransomware, ya que ambas partes pueden sacar provecho del ransomware de forma continua.
Después de obtener acceso a un kit RaaS, los compradores deben distribuirlo independientemente o mediante un servicio pago. Los vectores de ataque pueden tomar muchas formas, siendo el phishing uno de los métodos más comunes debido a la facilidad con que los usuarios desprevenidos harán clic en enlaces extranjeros y ejecutarán programas desconocidos.
Alternativamente, los compradores de kits RaaS pueden buscar sistemas con un protocolo de escritorio remoto sin protección comprando una lista de máquinas vulnerables o escaneando Internet usando herramientas ampliamente disponibles. El proceso RaaS podría verse así:
Los autores de malware crean un kit RaaS para un grupo de delitos informáticos.
El grupo promueve el kit RaaS en Dark Web y otras plataformas.
El comprador compra el kit RaaS.
El comprador distribuye el ransomware solo o con la ayuda de un servicio de distribución dedicado.
Si tiene éxito, los objetivos están infectados!
Ejemplos de infame ransomware como servicio
Satán
Visto por primera vez a principios de 2017, Satan RaaS permite a los afiliados crear y desplegar sin esfuerzo su propio ransomware en cuestión de minutos. Satan RaaS es de uso gratuito, pero los autores de ransomware reciben un recorte del 30 por ciento de cualquier ganancia obtenida por error. Satan RaaS es particularmente notable por su facilidad de uso, su interfaz gráfica de usuario profesional que presenta opciones de personalización simples, prácticos consejos de distribución e incluso un tablero de indicadores donde los usuarios pueden realizar un seguimiento de las tasas de infección, el rescate generado y más.
Filadelfia
Filadelfia se opone al modelo de suscripción y, en cambio, se puede comprar directamente con un costo inicial de $ 389. En lo que respecta al ransomware comercial, esto definitivamente está en el lado más costoso de las cosas, pero los desarrolladores de Filadelfia lo justifican al proporcionar un conjunto de características profesionales que compite con el software más legítimo. Los compradores de Filadelfia obtienen acceso a una interfaz intuitiva, acceso de por vida, la capacidad de generar muestras ilimitadas de ransomware y soporte y actualizaciones continuas.
Cerber
Distribuido a través de un foro ruso subterráneo, Cerber es uno de los ejemplos más infames de RaaS hasta la fecha. En junio de 2016, una iteración temprana de Cerber causó enormes dolores de cabeza a Microsoft cuando millones de usuarios de Office 365 estuvieron expuestos al ransomware. Más tarde, en septiembre de 2017, se descubrió que un sitio web del gobierno de EE. UU. Alojaba un descargador de JavaScript que entregaba Cerber. A diferencia de algunos ransomware, Cerber no depende de la comunicación de red para funcionar, lo que significa que incluso las máquinas sin conexión que han sido infectadas corren el riesgo de cifrar sus archivos.
MacRansom
MacRansom pone fin al rumor persistente de que MacOS es de alguna manera invulnerable al malware. En junio de 2017, los investigadores detectaron portales en la Dark Web que vendían MacRansom, ransomware que, a diferencia de la gran mayoría de ransomware, se dirige específicamente a los usuarios de Mac OS. Los afiliados mantienen un recorte del 30 por ciento de los rescates generados, y el resto va a los autores del ransomware. Curiosamente, MacRansom es bastante primitivo en comparación con muchas variantes de ransomware de Windows y requiere una gran cantidad de información manual del autor, lo que lo hace mucho menos eficiente que otros RaaS.
El auge del ransomware como servicio
No es ningún secreto que los ataques de ransomware han explotado en popularidad en los últimos tiempos. De hecho, como informó SonicWall, la cantidad de ataques de ransomware aumentó 167 veces en el transcurso de un solo año, pasando de 3.8 millones en 2015 a 638 millones en 2016.
La creciente disponibilidad de RaaS es en gran parte la culpable de esta alarmante tendencia. Impulsado por el gran potencial de ganancias, 2016 vio el nacimiento de casi un cuarto de millón de nuevas variantes de ransomware, lo que ayudó a los cibercriminales a generar alrededor de $ 1 mil millones mediante el uso de ransomware. Mientras tanto, la demanda promedio de ransomware se triplicó, pasando de $ 294 en 2015 a $ 1,077 en 2016.
A medida que los rescates han crecido, también lo han hecho las expectativas de los afiliados de RaaS. Si bien el ransomware de antaño era técnicamente difícil de implementar para la persona promedio, RaaS se ha vuelto cada vez más accesible y fácil de usar para satisfacer las necesidades de los delincuentes que pueden no estar tecnológicamente inclinados. Impulsado por ransomware como Spora, cuya interfaz y funcionalidad se asemeja a la de un software profesional, algunos RaaS modernos están bellamente diseñados, son intuitivos de usar e incluso cuentan con útiles guías de ayuda.
English version of the Spora ransom payment site.
La forma en que se comercializa RaaS también se ha vuelto más avanzada. Una vez confinados a la Dark Web, los grupos de malware se vuelven cada vez más descarados cuando se trata de tácticas de marketing y han comenzado a invadir la Surface Web (la parte de Internet que habitan los usuarios habituales).
Por ejemplo, parte de la campaña promocional de Filadelfia incluyó un video introductorio de YouTube de alta calidad que destaca todas las características del ransomware y cómo los nuevos usuarios pueden comenzar. Del mismo modo, los autores de Karmen publicaron un breve video instructivo de YouTube que muestra el ransomware en acción. Véalo usted mismo en el siguiente video de YouTube de Recorded Future, que volvió a alojar el video y eliminó los enlaces al ransomware.
¿Cuáles son los riesgos para las empresas?
Las empresas de todos los tamaños se enfrentan a un riesgo cada vez mayor a medida que RaaS se vuelve más accesible, pero no es el rescate en sí el que mata, sino el tiempo de inactividad. Aproximadamente 1 de cada 6 infecciones de ransomware resultan en más de 25 horas de tiempo de inactividad, según las cifras recopiladas en un informe reciente de la industria, y algunas organizaciones informan interrupciones que duran más de 100 horas. Incapaz de realizar ventas, brindar soporte o hablar con clientes potenciales, es fácil ver cómo RaaS puede costar indirectamente a las pequeñas y medianas empresas pérdidas de ingresos de decenas de miles de dólares.
Debido a que los ataques RaaS se usan comúnmente para atacar compañías o industrias específicas para maximizar las ganancias, algunos sectores tienen un riesgo mucho mayor que otros. De hecho, según una investigación de Dimension Data, cuatro industrias representan el 77 por ciento de todos los ataques de ransomware:
Servicios empresariales y profesionales (28%)
Gobierno (19%)
Asistencia sanitaria (15%)
Minorista (23%)
Si opera en uno de estos sectores, es vital que esté muy atento para minimizar el riesgo de ser víctima de un ataque RaaS.
Cómo proteger a su empresa de los ataques de ransomware
Al igual que con todos los tipos de malware, al fortalecer su sistema contra ataques de uno de los muchos afiliados de ransomware como servicio, es aconsejable adoptar un enfoque múltiple, que incluye:
Copias de seguridad
Adoptar un enfoque proactivo para RaaS es una buena manera de minimizar el riesgo de infección, pero para la máxima tranquilidad necesita saber que puede restaurar rápidamente su sistema en caso de un ataque.
Ahí es donde entran las copias de seguridad.
Tanto la nube como el almacenamiento físico son muy asequibles en estos días, lo que significa que realmente no hay excusa para no hacer copias de seguridad periódicas. Para la máxima tranquilidad, recomendamos cumplir con la regla 3-2-1:
Mantenga al menos tres copias de datos en al menos dos tipos diferentes de almacenamiento, al menos uno de los cuales debe almacenarse fuera de las instalaciones. En un mundo perfecto, todas estas copias serían idénticas y se actualizarían regularmente (en tiempo real, idealmente).
Formación de los empleados
Representando casi 3 de cada 4 de todos los ataques de malware, el phishing es un vector de ataque increíblemente popular y RaaS no es una excepción. Con esto en mente, una de las cosas más importantes que puede hacer para proteger su organización de RaaS es poner al día a todos sus empleados sobre las mejores prácticas de seguridad para usar cuando navegan por la web y revisan sus correos electrónicos.
Brindar al personal el apoyo que necesitan para aprender a identificar mensajes sospechosos y alentarlos a evitar enlaces potencialmente peligrosos y archivos adjuntos de correo electrónico puede ayudar en gran medida a reducir el riesgo de una infección RaaS.
¡Puede encontrar una amplia gama de tutoriales y cómo hacerlo en nuestro blog, incluida nuestra excelente guía contra el phishing!
Antivirus que use bloqueo de comportamiento
Se están lanzando nuevas variantes de RaaS a un ritmo tan rápido que simplemente no es posible que los productos antivirus que se basan únicamente en una base de datos de firmas los atrapen a todos. Como tal, es importante utilizar software de seguridad de TI que incorpore tecnología de bloqueo de comportamiento en sus mecanismos de defensa.
Al vigilar su sistema y observar comportamientos sospechosos que pueden ser causados por software malicioso, Emsisoft Anti-Malware es capaz de identificar todo tipo de ransomware y detener el programa de culpabilidad antes de que pueda poner un dedo en sus archivos.
Los servicios de ransomware llegaron para quedarse
La economía de suscripción ha dado paso a una nueva era de conveniencia y flexibilidad, y ransomware. A medida que RaaS se vuelve más accesible, incluso los delincuentes con menos conocimientos técnicos tienen los medios para desplegar ataques de ransomware dirigidos a organizaciones y consumidores de todo el mundo. Sin embargo, al mantenerse proactivo y usar las mejores prácticas de seguridad y respaldo, puede maximizar sus posibilidades de mantener su negocio seguro.
¡Que tenga un gran día (sin ransomware)!
