Uno de los cambios más profundos en el panorama empresarial moderno ha sido un cambio gradual hacia la economía de suscripción. En años pasados, entregaste el dinero que tanto te costó ganar y, a cambio, recibiste un producto o servicio que era tuyo para guardar. Ahora, tanto las empresas como los consumidores están abandonando el enfoque tradicional de pago por producto a favor del modelo como servicio, un acuerdo que ofrece una mayor flexibilidad para los consumidores y un ingreso más predecible y estable para las empresas. En la mayoría de los casos, es una mejor experiencia integral para todos los involucrados.
Lamentablemente, no solo Netflix y Spotify han adoptado esta forma de ofrecer sus servicios. En los oscuros recovecos del inframundo digital, los autores de malware ofrecen suscripciones de ransomware que los compradores obtienen rápidamente con motivos sin escrúpulos. Un fenómeno relativamente reciente, Ransomware as a Service (RaaS) permite a cualquier persona con conexión a Internet, independientemente de su conocimiento técnico, comprar un poderoso ransomware a través de la Web Oscura y llevar a cabo ataques de encriptación devastadores contra los objetivos de su elección.
¿Cómo funciona el Ransomware como servicio?
El ransomware en sí es un tipo especial de malware que está diseñado para encriptar tus archivos y hacerlos inaccesibles hasta que desembolses una suma de dinero (generalmente en forma de bitcoin u otra criptomoneda).
En el pasado, solo aquellos con fuertes habilidades técnicas podían ejecutar un ataque de ransomware exitoso, pero Ransomware-as-a-Service ha cambiado todo eso gracias a la proliferación de kits de ransomware fáciles de usar, que contienen todo lo que uno podría necesitar para lanzar un exitoso ataque de ransomware.
Estos kits generalmente se alojan en portales enterrados en la Web Oscura, donde los compradores pueden implementar «con seguridad» el ransomware lejos de miradas indiscretas. Muchos kits RaaS no requieren ningún costo inicial para su uso o implementación; en cambio, el autor recibe una comisión (típicamente del 20-40%) de cualquier ganancia ilegal, convirtiendo RaaS, para todos los efectos, en un esquema de afiliación. Esto lo convierte en un modelo de negocio lucrativo para compradores y autores de ransomware, ya que ambas partes pueden sacar provecho del ransomware de forma continua.
Después de obtener acceso a un kit RaaS, los compradores deben distribuirlo independientemente o mediante un servicio de pago. Los vectores de ataque pueden tomar muchas formas, siendo el phishing uno de los métodos más comunes debido a la facilidad con que los usuarios desprevenidos harán clic en enlaces extranjeros y ejecutarán programas desconocidos.
Alternativamente, los compradores de kits RaaS pueden buscar sistemas con un protocolo de escritorio remoto (RDP) sin protección comprando una lista de máquinas vulnerables o escaneando Internet usando herramientas ampliamente disponibles. El proceso RaaS podría verse así:
- Los autores de malware crean un kit RaaS para un grupo de delitos informáticos.
- El grupo promueve el kit RaaS en la Web Oscura y otras plataformas.
- El comprador compra el kit RaaS.
- El comprador distribuye el ransomware solo o con la ayuda de un servicio de distribución dedicado.
- Si tiene éxito, las víctimas están infectados!
Ejemplos de ransomware como servicio
Satan
Visto por primera vez a principios de 2017, Satan RaaS permite a los afiliados crear y desplegar sin esfuerzo su propio ransomware en cuestión de minutos. Satan RaaS es de uso gratuito, pero los autores de ransomware reciben un recorte del 30% de cualquier ganancia ilegal. Satan RaaS es particularmente notable por su facilidad de uso, su interfaz gráfica de usuario profesional que presenta opciones de personalización simples, prácticos consejos de distribución e incluso un tablero de indicadores donde los usuarios pueden realizar un seguimiento de las tasas de infección, el rescate generado y más.
Philadelphia
Philadelphia se opone al modelo de suscripción y, en cambio, se puede comprar directamente con un costo inicial único de $389, pero los desarrolladores de Philadelphia lo justifican al proporcionar un conjunto de características profesionales que rivaliza con el software más legítimo. Los compradores de Philadelphia obtienen acceso a una interfaz intuitiva, acceso de por vida, la capacidad de generar muestras ilimitadas de ransomware y soporte y actualizaciones continuas.
Cerber
Distribuido a través de un foro ruso, Cerber es uno de los ejemplos más infames de RaaS hasta la fecha. En junio de 2016, una iteración temprana de Cerber causó enormes dolores de cabeza a Microsoft cuando miles de usuarios de Office 365 estuvieron expuestos al ransomware. Más tarde, en septiembre de 2017, se descubrió que en EE.UU. un sitio web del gobierno alojaba un descargador de JavaScript que entregaba Cerber. A diferencia de algunos ransomware, Cerber no depende de la comunicación de red para funcionar, lo que significa que incluso las máquinas sin conexión que han sido infectadas corren el riesgo de perder acceso a sus archivos.
MacRansom
MacRansom pone fin al rumor persistente de que MacOS es de alguna manera invulnerable al malware. En junio de 2017, los investigadores detectaron portales en la Web Oscura que vendían MacRansom, ransomware que, a diferencia de la gran mayoría de ransomware, se dirige específicamente a los usuarios de Mac OS. Los afiliados mantienen un recorte del 30 por ciento de los rescates generados, y el resto va a los autores del ransomware. Curiosamente, MacRansom es bastante primitivo en comparación con muchas variantes de ransomware de Windows y requiere una gran cantidad de información manual del autor, lo que lo hace mucho menos eficiente que otros RaaS.
El auge del ransomware como servicio
La creciente disponibilidad de RaaS es en gran parte la culpable de esta alarmante tendencia. Impulsado por el gran potencial de ganancias, 2016 vio el nacimiento de muchas nuevas variantes de ransomware, lo que ayudó a los cibercriminales a generar alrededor de $1 mil millones mediante el uso de ransomware. Mientras tanto, la demanda promedio de ransomware se aumentó en 43 veces, pasando de $294 en 2015 a $13000 en 2019.
A medida que los rescates han crecido, también lo han hecho las expectativas de los afiliados de RaaS. Si bien el ransomware de antaño era técnicamente difícil de implementar para la persona promedio, RaaS se ha vuelto cada vez más accesible y fácil de usar para satisfacer las necesidades de los delincuentes que pueden no estar tecnológicamente inclinados. Impulsado por ransomware como Spora, cuya interfaz y funcionalidad se asemeja a la de un software profesional, algunos RaaS modernos están bellamente diseñados, son intuitivos de usar e incluso cuentan con útiles guías de ayuda.
La forma en que se comercializa RaaS también se ha vuelto más avanzada. Una vez confinados a la Web Oscura, los grupos de malware se vuelven cada vez más descarados cuando se trata de tácticas de marketing y han comenzado a invadir la Surface Web (la parte de Internet que habitan los usuarios habituales).
Por ejemplo, parte de la campaña promocional de Philadelphia incluyó un video introductorio de YouTube de alta calidad que destaca todas las características del ransomware y como los nuevos usuarios pueden comenzar. Del mismo modo, los autores de Karmen publicaron un breve video instructivo de YouTube que muestra el ransomware en acción.
¿Cuáles son los riesgos para las empresas?
Las empresas de todos los tamaños se enfrentan a un riesgo cada vez mayor a medida que RaaS se vuelve más accesible, pero no es el rescate en sí mismo el asesino, sino el tiempo de inactividad. Incapaz de realizar ventas, brindar soporte o hablar con clientes potenciales, es fácil ver cómo RaaS puede costar indirectamente a las pequeñas y medianas empresas decenas de miles de dólares en ingresos perdidos.
En promedio, el ransomware le cuesta a las empresas $46800 en tiempo de inactividad, según una encuesta de más de 2,400 MSP realizada por Datto. Durante un ataque, ¿cuánto negocio perderías por hora? ¿Por día? ¿Por semana?
Como proteger tu empresa de los ataques de ransomware
Al igual que con todos los tipos de malware, al fortalecer tu sistema contra ataques de uno de los muchos RaaS, es aconsejable adoptar un enfoque múltiple, que incluye:
Copias de seguridad
Adoptar un enfoque proactivo para RaaS es una buena manera de minimizar el riesgo de infección, pero para la máxima tranquilidad necesitas saber que puedes restaurar rápidamente tu sistema en caso de un ataque.
Ahí es donde entran las copias de seguridad.
Tanto la nube como el almacenamiento físico son muy asequibles en estos días, lo que significa que realmente no hay excusa para no hacer copias de seguridad periódicas. Para la máxima tranquilidad, te recomiendo cumplir con la regla 3-2-1:
Mantén al menos tres copias de datos en al menos dos tipos diferentes de almacenamiento, al menos uno de los cuales debe almacenarse fuera de las instalaciones. En un mundo perfecto, todas estas copias serían idénticas y se actualizarían regularmente (en tiempo real, idealmente).
Formación de los empleados
Representando casi 3 de cada 4 de todos los ataques de malware, el phishing es un vector de ataque increíblemente popular y RaaS no es una excepción. Con esto en mente, una de las cosas más importantes que puedes hacer para proteger tu organización de RaaS es poner al día a todos tus empleados sobre las mejores prácticas de seguridad para usar cuando navegan por la web y revisan sus correos electrónicos.
Brindar al personal el apoyo que necesitan para aprender a identificar mensajes sospechosos y alentarlos a evitar enlaces potencialmente peligrosos y archivos adjuntos de correo electrónico puede ayudar en gran medida a reducir el riesgo de una infección RaaS.
Antivirus que usa bloqueo de comportamiento
Se están lanzando nuevas variantes de RaaS a un ritmo tan rápido que simplemente no es posible que los productos antivirus que se basan únicamente en una base de datos de firmas los atrapen a todos. Como tal, es importante utilizar software de seguridad de TI que incorpore tecnología de bloqueo de comportamiento en sus mecanismos de defensa.
Al vigilar tu sistema y observar comportamientos sospechosos que pueden ser causados por software malicioso, McAfee Endpoint Security es capaz de identificar todo tipo de ransomware y detenerlo antes de que pueda poner un dedo en tus archivos.
RaaS llegaron para quedarse
La economía de suscripción ha dado paso a una nueva era de conveniencia y flexibilidad, y ransomware. A medida que RaaS se vuelve más accesible, incluso los delincuentes con menos conocimientos técnicos tienen los medios para desplegar ataques de ransomware dirigidos a organizaciones y consumidores de todo el mundo. Sin embargo, al mantenerte proactivo y usar las mejores prácticas de seguridad y respaldo, puede maximizar tus posibilidades de mantener tu negocio seguro.
