¿Qué es ransomware como servicio?
En 2021, la amenaza que representaba el ransomware siguió creciendo. La tendencia más obvia es que los grupos de ransomware ahora están apuntando a empresas más grandes y, al hacerlo, pueden solicitar pagos más grandes.
Sin embargo, otra tendencia importante es el auge del ransomware como servicio. El ransomware ya no es solo una herramienta de ataque; también se ha convertido en un producto de software que se puede alquilar a otros.
Entonces, ¿qué es exactamente el ransomware como servicio? ¿Y cómo pueden las empresas protegerse de él?
¿Qué es ransomware como servicio?
El ransomware es un tipo de software malicioso que cifra los datos y hace que sea imposible recuperarlos sin una clave de cifrado.
Es una herramienta de ciberataque muy rentable porque las víctimas no tienen más remedio que pagar por la clave si alguna vez quieren recuperar sus archivos.
El ransomware como servicio (también conocido como RaaS) es un modelo de negocio en el que el ransomware se alquila a los afiliados. Se deriva del modelo de software como servicio que utilizan muchas empresas legítimas .
Los afiliados obtienen acceso al software de ransomware más eficaz. Y los desarrolladores del software normalmente piden un porcentaje de las ganancias obtenidas al usarlo. Ambas partes ganan más dinero del que ganarían trabajando por su cuenta.
¿Cómo funciona RaaS?
El ransomware es un software como cualquier otro. Puede ser creado por una persona o un equipo.
Los desarrolladores tienen entonces una opción. Pueden usar el software ellos mismos, alquilarlo a otros o ambas cosas.
Si optan por el modelo RaaS, simplemente hacen que el software sea más fácil de usar y luego anuncian su "producto" en la web oscura.
La ventaja para los desarrolladores es que pueden ganar dinero sin preocuparse por encontrar víctimas. Esto es cada vez más difícil de hacer a medida que más empresas aprenden a protegerse.
También es una oferta atractiva para cualquier ciberdelincuente que quiera usar ransomware pero no sepa cómo hacerlo. RaaS es rentable para los desarrolladores porque la mayoría de los ciberdelincuentes no son expertos en informática.
Por lo general, se pide a los afiliados que paguen un porcentaje de cualquier rescate que reciban. Esta cifra suele estar entre el 20 y el 30 por ciento. Algunos desarrolladores también cobran una tarifa mensual por acceder a sus productos.
Algunas organizaciones RaaS también cuentan con negociadores profesionales en el personal. Una vez que el afiliado logra instalar ransomware en la computadora de la víctima, puede comunicarse con el negociador, quien luego se encargará de todo lo demás.
Muchas organizaciones de RaaS también siguen prácticas comerciales tradicionales, como ofrecer soporte al cliente, documentación de capacitación y períodos de reembolso.
¿Es RaaS una amenaza tan grave?
Muchos de los mayores ataques de ransomware que ocurrieron durante 2020-21 se pueden atribuir a organizaciones RaaS.
El ataque al Colonial Pipeline, que provocó el pánico generalizado en la compra de gas, fue llevado a cabo poruna filial de DarkSide .
El ataque de JBS, que casi provocó una escasez de carne , fue llevado a cabo por otra organización de RaaS, a saber, Revil. Revil también fue responsable del ataque a Kaseya VSA que resultó en el cierre temporal de más de 800 tiendas de comestibles suecas.
¿Es RaaS potencialmente más peligroso que el ransomware tradicional?
RaaS es una tendencia preocupante por múltiples razones.
El ransomware por sí solo ya es muy rentable para sus desarrolladores. RaaS proporciona una fuente de ingresos adicional y una motivación adicional para que hagan que su software sea lo más eficaz posible.
El ransomware requiere una cierta cantidad de conocimientos técnicos para desarrollarse. El criminal promedio no tiene este conocimiento. RaaS elimina esta barrera de entrada. Hace que el ransomware esté disponible para cualquiera que visite un mercado de la web oscura.
Los mejores desarrolladores de ransomware se centran principalmente en atacar grandes organizaciones. Esto facilita que las pequeñas empresas y los particulares eviten el problema. Es probable que los afiliados de RaaS más pequeños ataquen a cualquiera.
¿Cómo ocurren los ataques RaaS?
Algunos ataques de ransomware son muy sofisticados, pero la mayoría comienzan con correos electrónicos de phishing. Estos son mensajes fraudulentos que le piden al destinatario que inicie sesión en un sitio web falso o que descargue un archivo adjunto.
Si el destinatario visita el sitio web falso, le roban sus credenciales. O si descargan un archivo adjunto, es probable que sea un troyano o un registrador de teclas. Cualquiera de las opciones puede proporcionar acceso a una red que de otro modo sería segura.
Algunos de estos correos electrónicos también son muy fáciles de enamorarse porque se han diseñado específicamente para el destinatario .
El software obsoleto es otro vector de ataque popular. Siempre que se encuentra una vulnerabilidad en un producto de software popular, se publica una actualización para parchearla. Pero muchas empresas no actualizan su software con la suficiente rapidez.
Los piratas informáticos son conscientes de esto y buscan específicamente empresas que utilicen software obsoleto. Una vez que encuentran uno, no es difícil encontrar una forma de plantar ransomware.
Cómo protegerse contra RaaS
Todas las empresas deben tener políticas establecidas para protegerse contra el ransomware.
Mantenga el software actualizado
Todo el software debe mantenerse actualizado en todo momento. Las actualizaciones de software a menudo se evitan por temor a que algo se rompa. Si bien esto siempre es posible, el costo de un ataque de ransomware exitoso es significativamente mayor.
Brindar capacitación en seguridad
Todo el personal debe recibir formación en ciberseguridad. Idealmente, los empleados deberían poder reconocer los correos electrónicos maliciosos. Pero también se deben establecer protocolos de correo electrónico específicos, como nunca hacer clic en enlaces o descargar archivos adjuntos.
También se debe exigir a los empleados que utilicen contraseñas seguras y administradores de contraseñas.
Divida todas las redes en segmentos
Si un intruso obtiene acceso a una red, su capacidad para hacer daño depende en gran medida de a dónde pueda ir desde allí.
Por lo tanto, todas las redes deben dividirse en segmentos y cada miembro del personal solo debe tener el nivel de acceso necesario para realizar su trabajo. Obviamente, los datos más importantes deben mantenerse separados de todo lo demás.
Realice copias de seguridad periódicas
Es imposible protegerse completamente contra el ransomware. Por lo tanto, todas las empresas deberían realizar copias de seguridad periódicas y almacenarlas sin conexión.
Vale la pena señalar que muchos atacantes ahora emplean la doble extorsión. Esto significa que no solo cifran sus datos, sino que también amenazan con publicar cualquier información confidencial.
Debido a esto, las copias de seguridad ya no protegen completamente contra el ransomware.
Utilizar suites antivirus
Todos los dispositivos conectados a la red deben tener instalado un software antivirus.
Los piratas informáticos sofisticados generalmente pueden esconderse de dicho software. Pero muchos ataques de ransomware se basan en software que una suite antivirus de buena reputación marcará y evitará que se ejecute.
¿Debería preocuparse por RaaS?
Una ventaja de la evolución del ransomware es que ahora es menos probable que los particulares lo encuentren.
Sin embargo, si es propietario de un negocio, el ransomware nunca ha sido una amenaza mayor. Y a medida que más desarrolladores de ransomware cambien al modelo de negocio RaaS, es probable que el problema empeore.
Por lo tanto, todos los propietarios de empresas deben tener políticas establecidas para protegerse contra esta amenaza. Si bien estas políticas pueden ser costosas de implementar, son más baratas que la alternativa.