El ransomware como servicio es un modelo de negocio en el que actores maliciosos contratan los servicios de un ransomware a travs de un programa de afiliados y se encargan de llevar adelante los ataques.

Ransomware as a Service (RaaS) es un trmino en ingls que hace referencia a un modelo de negocios en el cual los desarrolladores de un malware tipo ransomware ofrecen a actores maliciosos interesados incluso sin grandes conocimientos tcnicosherramientas para que puedan iniciar una campaa de ransomware contra una vctima al contratar la creacin de malware como un servicio o la posibilidad de sumarse a travs de un programa de afiliados para distribuir una familia de ransomware a cambio de un porcentaje de las ganancias. Este modelo de negocio alrededor del ransomware no es nuevo ni exclusivo de este tipo de amenaza informtica existe el malware as a service pero en los dos ltimos aos el RaaS ha crecido y actualmente existen muchos grupos de ransomware operando bajo estas condiciones.

Pero, qu es exactamente el ransomware como servicio o RaaS?

Este servicio lo ofrecen grupos de ciberdelincuentes que desarrollan este tipo de cdigos maliciosos y lo ofrecen en foros clandestinos en los que buscan reclutar afiliados, que son quienes contratan el servicio. Son dos partes bien diferenciadas: los creadores del ransomware y los afiliados o quienes contratan el servicio que son responsables de distribuir la amenaza. Los afiliados tienen acceso a una infraestructura robusta y bien desarrollada con cdigos maliciosos diseados para evadir las defensas sin necesidad de tener conocimientos de programacin o haber creado la estructura de todo por s mismos. Asimismo, quienes adquieren el servicio tienen acceso a un panel de control donde podrn establecer los montos que solicitarn a cada vctima por el rescate, configurarn el mensaje para el usuario despus del compromiso, entre otras cosas.

Algunos grupos de ransomware, como es el caso de REvil, revelaron en una entrevista en 2021 que llegaron a tener 60 miembros afiliados distribuyendo este ransomware, lo que explica la popularidad que tuvo REvil que fue uno de los grupos ms activos a nivel mundial entre 2020 y 2021. A mayor cantidad de afiliados distribuyendo de manera independiente la amenaza, mayor cantidad de ataques.

El concepto es muy similar a contratar un servicio en la nube, solo paga la tarifa mensual para tener acceso a todo lo que la estructura tiene para ofrecer.
El monto que se cobrar por usar el framework, as como las funciones que se ofrecen a los afiliados, varan segn el grupo de ciberdelincuentes que se contrate. A continuacin, enumerar algunas de las funciones que ofrecen estos delincuentes, y vale la pena sealar que estos elementos no estn necesariamente vinculados a una oferta de un grupo especfico.

La siguiente lista detalla los servicios que ofrecen diferentes grupos.
Malware listo para ser distribuido, no detectable y que cuenta con tcnicas de ofuscacin para su ejecucin;
Distribucin de dinero obtenido por el pago del rescate: aqu puede haber diferentes modalidades. En algunos casos el porcentaje del monto que se lleva el afiliado puede ser desde 50% hasta del 70% o incluso hasta el monto total, ya que en algunos casos los ciberdelincuentes solo cobran por la creacin del malware y el uso de la estructura.
El modelo ms comn en la actualidad es por un porcentaje del dinero que pagan las vctimas por el rescate de los archivos;
Orquestacin completa del ataque a travs de los servidores de Comando y Control (C&C);
Posibilidad de robar informacin sensible del entorno de la vctima, previo al cifrado, para futuras extorsiones (Doxing);
Ayuda para conseguir nuevos objetivos para lanzar sus ataques.

Pgina principal de algunos de los grupos de Rransomware as a Service ms activos durante los ltimos meses.

Otro punto que nos llam la atencin fueron las mtricas que presentan nuestros sistemas. Hemos observado que el nmero de familias de ransomware ha aumentado mucho en los ltimos tiempos y que las detecciones de las propias amenazas han disminuido.

Esto significa que las familias de malware se estn volviendo ms asertivas en sus ataques, a menudo aprovechando vulnerabilidades que no han sido parcheadas para lograr el acceso inicial de un entorno. Combinando estas estrategias para lograr acceso a los sistemas con el hecho de que el ransomware es, sin duda, el tipo de amenaza ms rentable de los ltimos aos, tenemos lo que debera ser la principal preocupacin de las empresas en la actualidad.

Si pensamos en el ransomware como modelo de negocio de servicios, uno de sus principales propsitos es armar a las personas que quieren comprometer una determinada estructura de red, pero que an no tienen los conocimientos necesarios para hacerlo. Y ms all de que un ataque de ransomware puede resultar catastrfico para una organizacin, lo que hace que este escenario sea an ms preocupante es que existe un gran potencial de que las personas que contratan este tipo de servicios sean empleados, contratistas o rivales comerciales de la empresa objetivo. El ransomware Lockbit 2.0., por ejemplo, en su sitio de la Dark Web invita a formar parte de su red de afiliados a quienes tengan accesos a redes corporativas y a acceso a informacin interna de una organizacin que pueda ser de utilidad.

Si el afiliado es un empleado o un proveedor de servicios, este sera uno de los peores escenarios posibles, ya que las empresas suelen proteger el permetro y olvidarse de proteger los equipos internos, y esto hace que el malware infecte el entorno sin dificultad y comience a propagarse. Si el que utiliza los servicios del ransomware es un competidor, el escenario tambin es crtico, ya que puede tener informacin privilegiada sobre el objetivo, como procesos de negocios y contratacin de empleados o servicios, conocer personalmente a los empleados del objetivo, entre otra informacin valiosa.

Cmo consigue un delincuente contratar un servicio de ransomware


Si el interesado tiene un conocimiento mnimo sobre el acceso a la Dark Web y conoce algunas direcciones de bsqueda o pginas con listados de sitios de la red Onion, encontrar ofertas de RaaS puede llevar menos de 10 minutos. Si el delincuente no tiene un conocimiento mnimo sobre el tema, ser necesario buscar en foros de hacking de la Internet superficial hasta encontrar estos concentradores de enlaces, motores de bsqueda o foros que lo lleven a encontrar los sitios .onion de los grupos de ransomware. A partir de ah solo basta con contactarlos. Debido a que estn brindando un servicio, seguramente sern receptivos a los nuevos afiliados.
Como mencion, la forma ms rpida es a travs de Dark Web, pero es posible encontrar una gran cantidad de contenido interesante utilizando motores de bsqueda normales como Google. Solo se necesita buscar los trminos correctos.
Todos estos elementos nos hacen pensar que el RaaS tendr un impacto cada vez mayor en el panorama de seguridad global, por lo que lo sealamos como una de las tendencias para 2022. Creemos que todas las empresas y organizaciones, sin excepcin, deberan considerar esta amenaza como un riesgo alto y con una probabilidad alta, y tomar medidas para evitar que la infeccin tenga xito.
Lectura recomendada: Ransomware...trabajos previos: 15 medidas efectivas !!!
Entre las mejores prcticas para evitar este tipo de amenazas se encuentran:
Aplicar el principio de menor privilegio: Intenta siempre restringir al mximo los privilegios de todos los usuarios dentro de la red.

  • No te centres en el permetro, cntrate en todo!: cuando se trata de seguridad, es interesante tratarla de la forma ms completa posible, intentando proteger todos y cada uno de los equipos presentes en el entorno y no solo los permetros de red que se conectan a Internet. Lea sobre el modelo de seguridad Zero Trust.
  • Procesos de revisin y control: Esto es para privilegios de acceso, usuarios, grupos, procesos y cualquier otra cosa en el entorno. Es fundamental para la salud del entorno que haya revisiones peridicas de privilegios, grupos, usuarios de vacaciones/fuera/desvinculados de la empresa y todos los dems aspectos que garanticen que lo que se est utilizando en este momento es realmente lo necesario, y que lo necesario sea lo ms seguro posible.
  • La seguridad mnima es exactamente eso, la mnima. Intente que su entorno siempre evolucione: antivirus, firewall y backup de la informacin son requisitos bsicos para la seguridad de una red. Si ya tiene soluciones de seguridad bien establecidas en su entorno, es interesante preguntarse cul sera el prximo paso hacia un entorno an ms seguro y tomar medidas que lo lleven hacia l.
  • Eduque a los empleados para que comprendan la seguridad de la informacin: estrategias como lanzar campaas peridicas que aborden formas de identificar el phishing, las posibles formas en que los delincuentes pueden acercarse a las vctimas, el comportamiento seguro dentro y fuera del entorno corporativo son efectivas para reducir la cantidad de incidentes de seguridad.


Daniel Cunha Barbosa en https://www.welivesecurity.com/la-es/2022/02/23/ransomware-as-a-service-raas-que-es-como-funciona/