El ransomware como servicio (RaaS) permite a los atacantes, ya estén cualificados para ello o no, alquilar herramientas de ransomware y llevar a cabo los ataques.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
El ransomware como servicio (RaaS) es un modelo de negocio para empresas con intenciones criminales que permite que cualquiera pueda registrarse y utilizar herramientas para realizar ataques de ransomware. Al igual que pasa con otros modelos como servicio, como el software como servicio (SaaS) o la plataforma como servicio (PaaS), los clientes de RaaS alquilan los servicios de ransomware, en lugar de poseerlos como en un modelo tradicional de distribución de software.
El ransomware es un tipo de malware que bloquea el sistema o los archivos de la víctima, normalmente mediante encriptación. La víctima solo puede recuperar el acceso a sus datos si paga un rescate a los responsables del ataque de ransomware. El ransomware se ha convertido en una importante industria del submundo criminal, con un valor de miles de millones de dólares al año.
Aunque muchos creen que las personas responsables de ciberataques como el ransomware son programadores altamente cualificados, la realidad es que muchos atacantes no escriben su propio código y puede que ni siquiera sepan cómo hacerlo. Los ciberdelincuentes con conocimientos de codificación suelen vender o alquilar lo que desarrollan en lugar de utilizarlos ellos mismos.
El ransomware es solo un área del sector de la ciberdelincuencia con un modelo "como servicio". Los atacantes también pueden alquilar herramientas DDoS, suscribirse a listas de credenciales robadas, contratar botnets, o alquilar troyanos bancarios, entre otros servicios.
Los servicios RaaS utilizan diferentes modelos de ingresos. Los proveedores pueden cobrar una tarifa plana de suscripción mensual, quedarse con un porcentaje de los beneficios de sus clientes, utilizar un híbrido de estos dos modelos o cobrar una cuota de licencia única. Una vez que un cliente de RaaS crea una cuenta y realiza el primer pago (normalmente en Bitcoin), puede seleccionar el tipo de malware que desea utilizar.
Una vez realizado el pago, los atacantes empiezan su campaña de distribución de malware e infectan a las víctimas. En la mayoría de las ocasiones, los atacantes de ransomware utilizan phishing o campañas de ingeniería social para intentar engañar a los usuarios con el fin de que ejecuten el malware. (Estos métodos son bastante baratos en comparación con la compra de una vulnerabilidad de día cero o el acceso a una puerta trasera). Una vez se ejecuta el malware, se encripta e inutiliza el ordenador de la víctima, y el atacante muestra un mensaje con instrucciones sobre a dónde se debe enviar el rescate.
Los proveedores de RaaS suelen ofrecer asistencia al cliente 24 horas al día, 7 días a la semana, para los atacantes que tienen problemas para conseguir que su malware funcione correctamente. La mayoría de los proveedores tienen foros comunitarios en los que los clientes pueden hacer preguntas e intercambiar ideas. Muchos también ofrecen guías paso a paso sobre cómo ejecutar un ataque de ransomware con sus herramientas.
Algunos proveedores de RaaS son bastante exigentes sobre a quién venden su software. Pueden querer clientes altamente cualificados que tengan grandes objetivos, lo cual es una buena publicidad para su servicio. Pueden tener otros requisitos, como hablar un determinado idioma o la capacidad de empezar a utilizar el servicio y generar ingresos por ransomware de inmediato.
Otros venderán sus servicios prácticamente a cualquiera, siempre que el cliente pueda realizar el pago o generar ingresos en forma de rescates. Esto supone un ligero riesgo para los proveedores de RaaS, ya que, inevitablemente, algunos clientes pueden ser muy poco sofisticados y acabar siendo pillados.
En los últimos años, muchos proveedores de RaaS se han vuelto más cuidadosos sobre los sectores a los que permiten dirigirse a sus clientes. Por ejemplo, pueden prohibir los ataques a infraestructuras críticas o a instalaciones médicas, ya que estos ataques pueden afectar negativamente a la salud de las personas o incluso provocar muertes. Estos sucesos extremos suponen una mala publicidad para el mercado de RaaS, y los proveedores de RaaS pueden tener además objeciones morales cuando entra en juego la salud de las personas (problema que no tienen con su cuenta bancaria).
Los ataques que usan RaaS se han vuelto habituales en los últimos años. Algunos ejemplos:
El RaaS reduce considerablemente la barrera de entrada para esta rentable forma de ciberdelincuencia: cualquiera con un ordenador y una conexión a Internet puede llevar a cabo un ataque de ransomware. Por esta razón, es probable que los ataques RaaS sigan produciéndose en los próximos años.
Como cualquier servicio en la nube, los servicios RaaS se compran y se accede a ellos por Internet. Los RaaS suelen distribuirse a través de foros de malware en la web oscura. (La "dark web" es una parte de Internet a la que solo se puede acceder utilizando un navegador Tor, que oculta la ubicación del usuario y su dirección IP).
El RaaS es tan competitivo como cualquier otro sector, y muchos proveedores comercializan agresivamente sus servicios. Los proveedores de RaaS tienen cuentas de Twitter, sitios web, contenidos de vídeo y otros activos de marketing. Con frecuencia, realizan campañas de marketing para aumentar el negocio. La mayoría de las herramientas de RaaS tienen también reseñas de usuarios y foros de la comunidad.
Una serie de medidas de seguridad puede ayudar a las organizaciones a defenderse tanto de los ataques de ransomware como servicio como de los ataques de malware en general:
Para más información sobre cómo defenderse de los ataques RaaS, consulta Cómo prevenir el ransomware.