Evolución del Ransomware al As-a-Service

Evolución del Ransomware al As-a-Service

Los ataques de ransomware saltaron al conocimiento del gran público con el secuestro masivo de datos de importantes empresas en 2017, cuando una variante de este malware conocida como WannaCry puso en jaque a compañías como Telefónica.
Si bien el volumen total de ataques de ransomware (187 millones) disminuyó un 9% durante el 2019, los ataques altamente selectivos dejaron paralizados a muchos gobiernos estatales, retail e industrias, eliminando los servicios de comunicaciones por correo electrónico, webs, líneas de teléfono, operaciones e incluso oficinas enteras.
Los ciberdelincuentes han utilizado nuevas técnicas dando como resultado una multitud de variantes y el desarrollo de nuevos y más sofisticados kits de exploits, basados en ataques sin archivos.
La línea entre los ataques de ransomware y las brechas de datos cada vez se acorta más. A principio de este año se desplegaron una serie de prolíficos operadores de ransomware como Maze, Sodinokibi, DoppelPaymer, Nemty, Nefilim, CLOP y Sekhmet, creando sus propios sitios web donde publican los datos de víctimas que no pagaron un rescate.
En 2020, Emsisoft dijo que los grupos de ransomware han amenazado con: vender datos robados a competidores; utilizar datos robados para atacar a los socios comerciales de las víctimas; y dar a conocer los “secretos sucios” de las víctimas en la web para que todos los vean.
Esto ha hecho que el ransomware evolucione de manera conjunta con las tácticas de extorsión, volviéndose cada vez más peligroso. Acá revisamos los principales tipos de esta ciberamenaza.
Tipos de ransomware
Hay tres tipos principales de ransomware:
Scareware
El scareware no resulta tan temible. Incluye programas de seguridad falsos y ofertas falsas de soporte técnico. Podría recibir un mensaje emergente que le informa de que se ha detectado malware y que la única forma de librarse de él es pagar. Si no lo hace, seguramente continuará siendo bombardeado con mensajes emergentes, pero sus archivos están básicamente a salvo.

Bloqueadores de pantalla o “lockscreen”
Con estos la alerta pasa a naranja. Si un ransomware que bloquea la pantalla llega a tu equipo, básicamente te impedirá el uso este por completo.
Imagen vía SensorsTech
Ransomware de cifrado o “cryptolockers”
Este es el peor de todos ya que secuestra los archivos y los cifra, exigiendo un pago para volver a descifrarlos y entregarlos. La razón por la que este tipo de ransomware es tan peligroso es porque una vez que los ciberdelincuentes se apoderan de los archivos, no hay ningún software de seguridad ni restauración del sistema capaz de devolvérselos. A menos que pague el rescate, puede despedirse de sus archivos. E incluso si se paga, no hay ninguna garantía de que los ciberdelincuentes devuelvan los archivos. Todo queda a la suerte.
As-a-Service ¿En qué consiste?
Un Ransomware modelo As-a-Service significa que toma prestado el modelo Software-as-a-Service (SaaS). El modelo, en este caso malicioso, y basado en la suscripción, permite a un cibercriminal novato o amateur lanzar ataques ransomware sin mucha dificultad. El ciberatacante puede encontrar varios paquetes RaaS en el mercado que reducen la necesidad de saber codificar un malware. Por ende, se han vuelto muy comunes, siendo utilizados, en muchos casos, por ciberdelincuentes que no tienen mucho conocimiento técnico, pero que quieren realizan un ataque complejo.
Estos ransomware funcionan como una »franquicia», donde sus creadores son los encargados de escribir el código, y luego se dedican a venderlo y/o arrendarlo. Además, se brinda conocimiento técnico e información paso a paso sobre cómo lanzar un ataque de ransomware utilizando el servicio, además de una plataforma que incluso puede mostrar el estado del ataque utilizando un tablero en tiempo real. Una vez que el ataque tiene éxito, el dinero obtenido se divide entre el proveedor del servicio, el codificador y el atacante.

El ransomware como servicio: qué es y cómo evitar ataques
El “ransomware as a service” (RaaS) parece cobrar mayor popularidad entre los círculos de piratas informáticos.
Para comprender su implicancia, apremia saber sobre el ransomware, una modalidad de acceso forzado cometida mediante técnicas de phishing y falsos correos. Cuando los hackers consiguen que la víctima instale el ransomware propiamente dicho, este programa se encarga de encriptar los archivos de la organización. Tras ello, los agresores se presentan por mail y exigen una suma en criptomonedas a cambio destrabar la información. Por esa vía, también advierten sobre una fecha límite para realizar el pago del rescate, bajo amenaza de difundir la información sensible de la entidad.

El RaaS funciona de manera similar al “software as a service” (SaaS), un modelo de distribución de programas y otras funcionalidades a través de internet. Las empresas que eligen la solución SaaS no necesitan mantener el software ni el hardware, ya que los datos y el soporte utilizados durante este proceso permanecen alojados en los servidores de la compañía que brinda el servicio.
En concreto, mediante el RaaS, encuentran kits de malware, soporte, dashboards para monitorear los ataques, ofertas y hasta comentarios de otros usuarios. A cambio, abonan una licencia de un sólo uso, o una suscripción mensual. También, pueden participar de un programa de afiliación en el que pagan una comisión por cada rescate. Siempre, en criptomonedas.
Vale destacar que esta variante creció a la par de los cambios de hábito que requirió la pandemia, cuando los hackers descubrieron que el teletrabajo podría convertirse en la ventana ideal para atacar. Porque, en este contexto, se aprovecharon de la improvisación a la que recurrieron las empresas para seguir operando. Es decir que, en cada empleado conectado desde una terminal desprotegida, encontraron una oportunidad.
Por eso, como muchas veces no alcanza con preparar al personal, es conveniente contratar un servicio que se encargue íntegramente de la seguridad. Entre ellos, la nube se presenta como una respuesta integral, ya que permite establecer planes de contingencia, mantener backups y realizar controles permanentes, entre otras acciones que reducen los riesgos.
En definitiva, la nube es la solución SaaS para el RaaS. Un recurso que está a la altura de un problema cada vez más complejo, en el que la romántica figura del hacker termina por diluirse una vez reveladas las redes delictivas detrás de este tipo de intrusión.

 

 

Fuente: https://blog.nivel4.com/