Ransomware como servicio

Modelo de negocio para los cibercriminales

El ransomware como servicio ( RaaS ) es un modelo de negocio de delitos cibernéticos en el que los operadores de ransomware escriben software y los afiliados pagan para lanzar ataques utilizando dicho software. ^[1] Los afiliados no necesitan tener habilidades técnicas propias, sino que confían en las habilidades técnicas de los operadores. ^[2]

El modelo de “ransomware como servicio” es una variante cibercriminal del modelo de negocio de “ software como servicio ”. ^[3]

Modelos de ingresos

Los afiliados pueden elegir entre diferentes modelos de ingresos, incluidas suscripciones mensuales, programas de afiliados, tarifas de licencia únicas y participación pura en las ganancias. Los operadores de RaaS más avanzados ofrecen portales que permiten a sus suscriptores realizar un seguimiento del estado de las infecciones, los pagos y los archivos cifrados. Este nivel de soporte y funcionalidad es similar al de los productos SaaS legítimos. ^[4]

El mercado de RaaS es altamente competitivo, y los operadores realizan campañas de marketing y desarrollan sitios web que imitan a empresas legítimas. Los ingresos globales por ataques de ransomware fueron de aproximadamente 20 mil millones de dólares en 2020, lo que pone de relieve el importante éxito financiero de RaaS. ^[3]

El Centro de Inteligencia sobre Amenazas de Microsoft (MSTIC) considera que el RaaS es diferente de las formas anteriores de ransomware, ya que ya no tiene un vínculo estrecho entre las herramientas, el vector de entrada inicial y las opciones de carga útil. ^[5] Consideran que tienen una doble amenaza: tanto el cifrado de datos como su exfiltración y la amenaza de publicarlos. ^[5]

Métodos de extorsión

Los actores de amenazas de ransomware utilizan diferentes técnicas para extorsionar a las víctimas. Algunos de los métodos principales incluyen:

Doble extorsión

En un ataque de ransomware de doble extorsión, los actores de la amenaza primero cifran los datos de la víctima. Luego amenazan con publicar los datos extraídos si no se paga el rescate. Esto ejerce una presión adicional sobre la víctima para que pague el rescate y así evitar que se filtren datos confidenciales. ^[6]

Según un análisis de la empresa de ciberseguridad Zscaler , 19 familias de ransomware adoptaron enfoques de extorsión doble o múltiple en 2021. Para 2022, este número aumentó a 44 familias que utilizan esta técnica. Grupos como Babuk y SnapMC fueron pioneros en el ransomware de doble extorsión. Otros actores como RansomHouse, BianLian y Karakurt también lo adoptaron más tarde. ^[6]

Extorsión múltiple

La extorsión múltiple es una variante de la extorsión doble. Además de cifrar los datos y amenazar con filtrarlos, los actores de amenazas también lanzan ataques DDoS contra el sitio web o la infraestructura de la víctima. Esto agrega otro elemento para presionar a las víctimas a pagar. ^[6]

Pura extorsión

En un ataque de "extorsión pura" o "ransomware sin cifrado", los actores de la amenaza extraen datos confidenciales pero no cifran ningún archivo. Amenazan con publicar los datos robados en línea si no se paga el rescate. Este enfoque permite a los actores de la amenaza saltarse el complejo trabajo técnico de desarrollar cifradores. ^[6]

Grupos como LAPSUS$ y Clop han utilizado técnicas puramente extorsivas en ataques de alto perfil. Dado que los sistemas de las víctimas no están bloqueados, este método tiende a causar menos interrupciones y atrae menos la atención de las autoridades. Sin embargo, el impacto financiero en las organizaciones atacadas puede ser grave. ^[6]

Actores principales

Entre los ejemplos más conocidos de kits RaaS se incluyen Hive, DarkSide, REvil (también conocido como Sodinokibi), Dharma y LockBit . Estos operadores evolucionan continuamente y crean nuevas versiones de ransomware para maximizar su impacto. ^[7]

Algunos ejemplos de kits RaaS son Locky , Goliath, Shark, Stampado, Jokeroo y Encryptor. ^[1]

Hive ganó atención en abril de 2022 cuando atacó a los clientes de Exchange Server de Microsoft. El Departamento de Justicia de Estados Unidos confiscó dos servidores pertenecientes a Hive, lo que interrumpió sus operaciones. ^[3]

DarkSide se centraba principalmente en las máquinas Windows , pero se ha expandido a los sistemas Linux . Ganó notoriedad en el incidente de Colonial Pipeline, donde la organización pagó casi 5 millones de dólares a una filial de DarkSide. ^[3]

REvil está asociado con PINCHY SPIDER y se hizo conocido por exigir uno de los rescates más grandes registrados: $ 10 millones. ^[3]

Véase también

• como un servicio
• Broker de acceso inicial

Referencias

1. Baker, Kurt (30 de enero de 2023). "Explicación y ejemplos de ransomware como servicio (RaaS)". Crowdstrike . Consultado el 11 de febrero de 2023 .
2. Palmer, Danny (4 de marzo de 2021). "El ransomware como servicio es el nuevo gran problema para las empresas". ZDnet . Consultado el 11 de febrero de 2023 .
3. "¿Qué es el ransomware como servicio (RaaS)? - CrowdStrike". crowdstrike.com . Consultado el 10 de julio de 2023 .
4. "¿Qué es el ransomware como servicio (RaaS)? - CrowdStrike". crowdstrike.com . Consultado el 10 de julio de 2023 .
5. "Ransomware como servicio: comprender la economía informal del cibercrimen y cómo protegerse". Centro de inteligencia sobre amenazas de Microsoft. 2022-05-09 . Consultado el 2023-02-11 .
6. Ross Kelly (29 de junio de 2023). "Ransomware sin cifrado: advertencia sobre un método de ataque emergente para actores de amenazas". ITPro . Consultado el 31 de julio de 2023 .
7. Baker, Kurt (30 de enero de 2023). "Explicación y ejemplos de ransomware como servicio (RaaS)". Crowdstrike . Consultado el 11 de febrero de 2023 .