Ransonware as a Service, una técnica de ataque al servicio de ciberdelincuentes
Organizaciones criminales que carecen de la infraestructura para crear su propio ransomware contratan servicios de Ransonware as a Service (RaaS).
Los modelos de provisión de servicios “As-A-Service” son una estrategia idónea para los departamentos de TI de las organizaciones que necesitan flexibilizar sus infraestructuras y hacerlas más ágiles en cada momento. Las tecnologías “cloud” no han hecho sino impulsar estos modelos, por la escala que permite la nube, su ubicuidad y su buena relación costo-beneficio.
Hoy día, prácticamente cualquier necesidad TIC que tiene una empresa puede ser aprovisionada como servicio, desde un paquete ofimático a la gestión de la infraestructura de red, pasando por soluciones de seguridad en todos los ámbitos.
Pues bien, como en esos otros dominios, los ciberdelincuentes también están utilizando los nuevos modelos de entrega de servicios de TI, y se aprovechan de las ventajas que estos modelos aportan, sobre todo flexibilidad para escalar el servicio y la disponibilidad de recursos de TI a demanda – no sólo tecnológicos sino también humanos. Esto está ocurriendo con el ransomware, actividad para la cual ya existen organizaciones que ofrecen RaaS,
En efecto, muchas organizaciones criminales que o bien carecen del “know-how” técnico o de las infraestructuras necesarias para crear su propio ransomware pueden contratar este servicio en la red. Las plataformas RaaS incluyen soporte, foros comunitarios, documentación, actualizaciones y otros recursos, como cualquier plataforma SaaS del mercado. Algunos sitios incluso ofrecen documentación de marketing de apoyo y casos de éxito, y el costo es relativamente bajo. En algunos casos, los usuarios disponen de modelos de suscripción mensual o de “pago por éxito”, es decir, sin tarifa inicial y pagar cuando un ataque es exitoso.
La utilización de ataques RaaS con objetivos muy precisos está siendo muy lucrativa para los ciberdelincuentes. No son ataques masivos, sino que se utilizan vectores de ataque de apariencia legítima, como correos electrónicos bien elaborados. En otros casos, los actores de amenazas pueden apuntar a vulnerabilidades de un grupo de víctimas objetivo.
Amenazar con exponer los datos de una víctima en sitios de datos exfiltrados, además de la encriptación de los archivos, aumenta la ventaja del actor de la amenaza RaaS y es una parte fundamental de la estrategia del actor. Tal exposición puede ser más perjudicial que el impacto financiero que la víctima experimentaría pagando un rescate.
Según un informe publicado en ZDNet, casi dos tercios de los ataques de ransomware durante 2020 procedieron de plataformas basadas en RaaS. Además, cada vez más organizaciones criminales que operan a escala global proporcionan servicios de ransomware a cibercriminales de todo el mundo.
La operación se parece mucho a una sociedad con beneficios compartidos. La parte que contrata el servicio se encarga del “hackeo” de los sistemas de la víctima, mientras que la plataforma RaaS proporciona el resto de las herramientas y procesos como encriptación y procedimientos para cobro del rescate, a cambio de un porcentaje de los beneficios. Este modelo permite que hackers muy calificados sean contratados para penetrar en los sistemas de la víctima y por otro lado la plataforma RaaS se encarga del resto.
El círculo se cierra con el blanqueo de los rescates cobrados. En esta fase, las criptomonedas juegan un papel importante. Los fondos se transfieren hacia cuentas en criptomonedas en países fuera del alcance de las autoridades del país de la víctima.