Ciberseguridad

Ransomware as a Service: Amenazas a la carta

Enfrentar el Ransomware as a Service puede parecer una batalla cuesta arriba, pero no es imposible. Descubre cómo tu organización puede blindarse contra esta nueva ola de ciberataques, en la que la sofisticación y la facilidad de acceso aumentan el riesgo a niveles sin precedentes.
Ciberseguridad
José Maria Escalante Fernandez
Lectura: 8 minutos
Publicado el 05 de Diciembre de 2023
Lectura: 8 minutos
Compartir

Tu vida bloqueada, tu vida inaccesible. Tu vida sin poder ser vivida pues cualquier acción que quieras realizar te está prohibida. Piensa en ello por un instante.

La vida como la conocemos actualmente pende de un hilo, del hilo de los datos. Esos datos que continuamente generamos, compartimos, utilizamos y de los que apenas somos conscientes.

No hablamos solo de mensajes, fotografías, links, likes o retweets. Hablamos de contraseñas, certificados digitales, cookies o credenciales. Hablamos de esos datos que almacenamos sin darnos cuenta en nuestros dispositivos, y que nos permiten el uso de una gran variedad de servicios como email, plataformas de pagos, aplicaciones de gestión, suscripciones, almacenamiento, etc., esos servicios que nos hacen la vida más fácil.

Piensa en todas esas acciones cotidianas, soportadas por estos servicios antes mencionados y que llevas a cabo, casi inconscientemente, mientras desayunas, esperas el bus, conduces, trabajas, tomas cervezas con los amigos o descansas en el sofá. Piensa en todas esas acciones bloqueadas por el encriptado de esos archivos a los que apenas prestas atención. Ahora, vayamos más allá. Piensa en la empresa en la que trabajas ¿podrías enumerar todos los servicios, externos e internos, que dependen de los datos?

Ahora imagina lo siguiente, imagina que esta posibilidad de bloquear a cualquier persona, empresa u organización sea un servicio accesible a cualquiera.

Introducción

En la actual era digital, el grado de conectividad ha alcanzado cotas impensables hace 30 años, permitiendo un intercambio y generación de datos sin precedentes. Los datos se han erigido como el nuevo petróleo, siendo incuestionable el valor que proporcionan tanto a empresas y organizaciones como al usuario de a pie.

No obstante, los datos tienen una cara oculta que ha permanecido relativamente latente, pero que en los últimos años ha permitido a los cibercriminales atacar desde grandes corporaciones a usuarios de la red con fines muy diversos. Esa cara oculta es la capacidad de bloquear.

Esta capacidad de bloqueo se ha hecho más patente desde el 2020 con la pandemia de la COVID-19, donde el mundo entero, sin excepción alguna, tuvo que cambiar su modo de hacer negocios, trasladándose de forma masiva y en muchos casos sin garantías de seguridad, al sector digital, haciendo que los datos tomasen más relevancia aún.

Conviértete en un Experto en Ciberseguridad
Comienza 15 días gratis en OpenWebinars y accede cursos, talleres y laboratorios prácticos de Snort, OSINT y Metasploit para proteger tus sistemas de ataques de malware.
Registrarme ahora

Amenazas y vulnerabilidades

La existencia de vulnerabilidades debido a las infraestructuras utilizadas está relacionada con:

  • La arquitectura usada
  • Cómo se realiza la conexión a internet (interna y externa)
  • El sistema operativo usado
  • La base de datos usada
  • La falta de control en la actividad del sistema

Así como las vulnerabilidades relacionadas con los usuarios de las infraestructuras son:

  • Confiar en software de procedencia dudosa
  • Ausencia de backups de los datos
  • Incorrecta configuración de la conexión a internet
  • Carencia de antivirus
  • Confiar en mensajes sospechosos

Todo lo anterior hace que los cibercriminales hayan desarrollado una gran cantidad de amenazas (ciberataques) que aprovechan una o varias de estas vulnerabilidades antes mencionadas. Entre los diferentes tipos de ataque que han sido diseñados, existen 15 tipos de ciberataques que deberías conocer:

  • Phising
  • Malware
  • Ransomware
  • Ataques de denegación de Servicio (DDoS, por sus siglas en inglés)
  • Ataque de ingeniería social
  • Hacking de contraseña
  • Ataque de inyección SQL
  • Ataque de fuerza bruta
  • Ataque Man-in-the-Middle
  • Ataque Zero-Day
  • Secuestro de sesión
  • Ataque de intermediario
  • Ataque de cryptojacking
  • Suplantación de identidad (spoofing)

Entre todos los ataques antes expuestos, el que aprovecha la capacidad de los datos para bloquear un sistema es el ataque de ransomware. El hecho de que los datos no estén debidamente protegidos constituye un talón de Aquiles para empresas, organizaciones y usuarios. Así, los cibercriminales usan este tipo de ataques explotando vulnerabilidades, generalmente asociadas a personas, empleando la capacidad de bloqueo de los datos contra empresas, organizaciones y usuarios.

El Instituto Nacional de Ciberseguridad (INCIBE) define el ransomware como un tipo de malware que toma por completo el control del equipo bloqueando o cifrando la información (datos) del usuario para, a continuación, pedir dinero a cambio de desbloquear o desencriptar los ficheros del dispositivo.

Uno de los últimos ataques ransomware más sonados fue el sufrido por el Servicio Público de Empleo Estatal (SEPE, por sus siglas) por el ransomware Ryuk. En este caso la vulnerabilidad surgió porque un empleado del SEPE abrió un correo fraudulento infectado con el ransomware.

No obstante, lo alarmante aquí, no es la capacidad de bloqueo generado por un ataque ransomware en sí, sino el hecho de que la posibilidad de realizar este tipo de ataque sea accesible a cualquier persona.

Qué es el Ransomware as a Service

La llegada de internet trajo consigo los primeros ciberataques, ahora conocidos como delitos cibernéticos o digitales debido a su amplia variedad. En aquella época la ejecución de estos ataques podría considerarse casi “artesanal”, siendo perpetrados por lobos solitarios (cibercriminales o hackers) o bandas organizadas de hackers que disponían tanto del conocimiento, los recursos y la capacidad para ejecutarlos. En aquel momento, era necesario ser un experto informático, controlando los diferentes aspectos del ataque, tanto desde el punto de vista técnico como de ingeniería social (se llegaba a adaptar mecanismos tradicionales de estafa en el ámbito digital).

El frenético ritmo con el que la tecnología digital avanza y como extiende su influencia en ámbitos tan diferentes como el profesional, social o personal, ha provocado una evolución constante en la creación y ejecución de delitos digitales, tanto a nivel tecnológico como social. Este ritmo de cambio ha provocado una profesionalización de esta actividad delictiva, donde cada vez más, grupos de hackers bien organizados han potenciado la I+D+i en este campo, aumentando así la eficiencia de sus ataques, desarrollando nuevos tipos de ataque (detección de vulnerabilidades y su explotación) y descubriendo oportunidades para hacer negocio.

Cómo funciona el RaaS

Se ha mencionado negocio. ¿Qué negocio? ¿Dónde está el negocio? La profesionalización de esta actividad, forzada por el rápido avance tecnológico, implica la adaptación de herramientas, el desarrollo de soluciones especializadas y la implementación de técnicas que están reservadas a profesionales del ámbito de la ciberseguridad y/o la programación. Esto hace que el desarrollo, implementación y ejecución un ciberataque no esté al alcance de cualquiera. A pesar de la existente complejidad que implica un ciberataque, esto no disuade de cometerlos, pues este tipo de delito pueden llegar a ser muy lucrativos con relación a su relativo bajo riesgo. Esto ha dado lugar a un modelo de negocio conocido como Ransomware-as-a-Service (RaaS, por sus siglas en inglés).
Este modelo de negocio permite a los cibercriminales que desean efectuar un ataque ransomware pero que carecen de la capacidad de efectuarlo (escasa formación o conocimiento tecnológico, carencia de infraestructura, falta de tiempo, …) a contratar este servicio a un tercero. Se puede ver como una forma de externalizar el ataque.

Actores involucrados en RaaS

Atendiendo a esta externalización, en el RaaS existen tres actores principales:

  • El proveedor del servicio: Hacker o grupos de hacker con la capacidad para dar el servicio, entre los más conocidos esta LockBit, BlackCat, Black Basta o Karakurt (rama de extorsión del grupo Conti ransomware).
  • El afiliado al servicio: Cualquier cibercriminal que desee perpetrar dicho ataque, pero sin la capacidad necesaria para su desarrollo y ejecución.
  • Las víctimas: Cualquier empresa, organización o usuario factible de ser extorsionado mediante este tipo de ataque.

El RaaS es un tipo de Crime-as-a-Service (CaaS, por sus siglas en inglés). El termino CaaS fue acuñado oficialmente por la Europol en el 2014 para hacer referencia a un nuevo tipo de cibercrimen basado en el intercambio de servicios entre cibercriminales.

El modelo de negocio de RaaS es similar al modelo de negocios del Software-as-a-Service (SaaS, por sus siglas en inglés), donde el usuario del software paga al operados por los servicios. No obstante, en el negocio RaaS, además de los servicios proporcionados, el operador también facilita al usuario una herramienta que le permite, entre otras cosas:

  • Administrar los ataques
  • Monitorizar a las víctimas
  • Comunicarse con las víctimas mediante sistemas de mensajería encriptada no convencionales
  • Realizar pagos a través de pasarelas de pago basadas en criptomonedas
  • Desbloquear o desencriptar datos de la victima

En relación a como se realiza la captación de usuarios para contratar servicios RaaS, esta se realiza en la Darknet, pero usando las mismas técnicas y métodos que en el marketing de negocios actual. No obstante, existen casos donde el operador es más selectivo con el usuario que va a contratar su servicio. Busca a los futuros usuarios en foros, haciendo pasar al potencial usuario por una serie de pruebas o entrevistas antes de convertirse en usuario final de su servicio RaaS.

Con esta estrategia, el operador se asegura de que el futuro usuario posea unas ciertas habilidades tecnológicas y conocimiento de ciberseguridad, evitando en cierta medida que el ataque pueda ser asociado a un RaaS (un experto en la materia es más pulcro actuando, evitando dejar huellas que puedan rastrearse).

Por otro lado, esta forma de actuar proporciona a su servicio un carácter de exclusividad.

Ataques de Ransomware famosos

Cabe destacar que es difícil saber, si un ataque ransomware este asociado a un servicio RaaS o no. Generalmente los cibercriminales que usuarios de un servicio RaaS son, por lo general, bastante pulcros en sus acciones, borrando cualquier rastro de la actividad en una infraestructura.

Por otro lado, los operadores cubren bien sus espaldas para evitar ser relacionados, manteniendo así su privacidad y su estatus dentro de la comunidad hacker. A continuación, se presenta alguno de los ejemplos más conocidos de ataques ransomaware asociados a servicios RaaS:

  • Ryuk: Ataque dirigido al New York Times en el 2019. El atacante utilizo un servicio RaaS para acceder a la red del Times y cifrar parte sus archivos, exigiendo un rescate de varios millones de dólares para desencriptar los archivos. Finalmente, el Times no pagó el rescate pues utilizó copias de seguridad para restaurar sus datos.
  • Maze: Ataque dirigido a la empresa de software Cognizant. Usando un servicio RaaS, el atacante cifró un conjunto de datos de gran sensibilidad para la compañía, la cual, finalmente, terminó pagado el rescate de $50 millones exigido.
  • Sodinokibi o Revil: Operación privada de ransomware usando un servicio RaaS con base en Rusia y que se centraba en empresas estadounidenses, aunque también afectó a empresas del sector asiático. El bloqueo de ciertos archivos con extensiones .java o .raw, así como otrosm provoco pérdidas estimadas de $200 millones.

La existencia de ataques ransomware asociado a servicios RaaS es, seguramente, mucho mayor de lo conocido. La pulcritud de cibercriminales y operadores, así como la ocultación de este tipo de ataques por empresas, organizaciones y usuarios, hace que se desconozca la verdadera estadística de este tipo de servicio.

Impacto en empresas y personas

El impacto de este tipo de ataques en empresas, organizaciones o usuarios de a pie puede ser muy diferente. Además, las empresas u organización los ocultan para evitar efectos adversos de cara a clientes. Esto mismo también ocurre en usuarios de a pie, pues generalmente, los datos bloqueados son comprometedores. Por lo tanto, los datos existentes son estimaciones o parciales.

A continuación, se presenta una serie de datos para dar un panorama general de los ataques ransomware, así como su impacto en empresas y personas.

En relación con los ataques ransomware:

  • La filtración de datos debido a ataques de ransomware han aumentado un 13% en los últimos cinco años (informe Verizon del 2022).
  • Actualmente, más del 10% de todas las infracciones son debido a ataques ransomware.
  • Mas del 27% de todos los malware detectados son ransomware.
  • Una filtración ransomware tardaron 49 días más que la media en identificarse y contenerse.

En relación con las empresas:

  • El 40% de las empresas contrató un seguro de ciberseguridad cuando se produjo un ciberataque contra otra organización del mismo sector.
  • Las grandes empresas tienen más probabilidades de sufrir ataques de ransomware que las pequeñas. En 2022, el 76 % de las grandes empresas sufrieron ataques de ransomware, frente al 57 % de las pequeñas empresas.
  • La demanda media de rescate para las grandes empresas es mayor que para las pequeñas empresas. En 2022, la demanda media de rescate para las grandes empresas fue de 268.000$, frente a los 178.000$ de las pequeñas empresas.
  • El 31 % de las grandes empresas pagaron el rescate, frente al 19 % de las pequeñas empresas.
  • En 2022, el coste medio de un ataque de ransomware para las grandes empresas fue de 2,2 millones de dólares, frente a 1,5 millones para las pequeñas empresas.

En relación con las personas:

  • 20% de los ataques de ransomware se relacionan daños a la reputación.
  • 93% de los ransomware se basan en ejecutables de Windows (.exe).
  • Menos del 59% de los empresarios, y en descenso, permite a sus empleados acceder a las aplicaciones de la empresa desde dispositivos personales no gestionados.
  • La principal táctica usada para infectar los dispositivos de usuarios es el phishing mediante email u otro tipo de mensajería (WhatsApp, etc.).

Prevención y respuesta efectiva

Dentro de las estrategias de prevención y respuesta efectiva para evitar ataques ransomware y ciberataques en general, debemos diferenciar tres niveles en los que aplicar estas estrategias: personal, infraestructura y corporativo.

Nivel personal

A este nivel, una correcta formación en prácticas de ciberseguridad es importante, pero generalmente esta formación es considerada la menos importante. El usuario, tanto a nivel individual o como parte de una empresa, es un ladrillo más en el muro que evita y repele los diferentes tipos de ciberataques.

No hablamos de una formación profunda en herramientas y tecnología en el campo de la ciberseguridad, hablamos de tener una formación adecuada en buenas prácticas para el uso de computadores y otros dispositivos que puedan ser objeto de ciberataques. Actualmente, a esto se le conoce como higiene cibernética.

Dentro de las prácticas de higiene cibernética, las más comunes y efectivas son:

  1. Usar herramientas de protección (antivirus, cortafuegos, etc…).
  2. Mantener actualizados softwares y aplicaciones en equipos de uso individual.
  3. Hacer copias de seguridad de datos usados en los dispositivos individuales (copias de seguridad en la nube).
  4. Tener contraseñas diferentes y evitar las cookies.
  5. Sospechar de correos o mensajes sospechosos (zero trust).

Las acciones 3 y 5 se pueden considerar las más efectivas respecto a un ataque ransomware a este nivel.

Nivel de infraestructura

A nivel de infraestructura, existen una serie de prácticas que a pesar de su sencillez son muy efectivas, evitando la infección de dispositivos y reduciendo los efectos negativos en caso de producirse (infraestructura resiliente), estas son:

  1. Mantener actualizadas aplicaciones y sistema operativo en equipos de uso común.
  2. Hacer copias de seguridad de las bases de datos comunes.
  3. Principio de mínimos privilegios (evitar cuentas de tipo administrador en caso necesario).
  4. Configuración adecuada de antivirus y cortafuegos.
  5. Control de puerto de entrada.
  6. Segregación de redes en función del uso realizado.
  7. Reforzar la seguridad del acceso remoto (uso de VPN Virtual Private Networks).
  8. Monitorización la actividad y el tráfico en la infraestructura.

Las acciones 2, 3, 5 y 8 se pueden considerar las más efectivas respecto a un ataque ransomware a este nivel.

Protege tu empresa de ataques de malware
Formaciones prácticas, avanzadas y actualizadas para que tu equipo domine las tecnologías, herramientas y procesos utilizados para proteger los datos y los activos IT/OT.
Solicitar más información

Nivel corporativo

A nivel corporativo, las siguientes recomendaciones son muy aconsejables para afrontar un posible ataque, estas son:

  1. Existencia de protocolos en caso de ataque: Aplicación de políticas y procedimientos relacionados con la gestión de incidentes, recogida de evidencias, análisis forense y recuperación de sistemas.
  2. Técnicos especializados: Organizar y adiestrar un equipo técnico capaz de dar una respuesta rápida y eficaz a incidentes de seguridad.
  3. Información actualizada: Información de las últimas tácticas cibecriminales, así como de acciones para evitarlas y del personal vinculado a estas acciones.
  4. Simulacros de ataques: Ejecutar simulaciones de diferentes tipos incidentes para evaluar la resiliencia de la infraestructura, midiendo tiempos de detección y reacción.
  5. Análisis de riesgos actualizados: Elaborar informes de riesgos actualizados de las infraestructuras existentes, y como mitigarlos.

En este caso, las acciones a este nivel son bastante genéricas aplicables tanto a ataques ransomware como a cualquier ciberataque en general.

La continua mejora y creación de ciberataques a empresas, organizaciones y particulares, hace necesaria una continua mejora en las diferentes estrategias para evitarlos, repelerlos y/o mitigarlos.

Desde un punto de vista laboral, esto abre grandes oportunidades, las cuales se ven incrementadas debido a la inevitable digitalización, haciendo muy atractivo desarrollar una carrera de ciberseguridad en la empresa.

Conclusión

La importancia actual y creciente de los datos, lo lucrativo de los ataques ransomware, la facilidad para perpetrarlos (servicios RaaS) y el relativo poco riesgo que conlleva, hace que este tipo de cibercrimen este en auge con una proyección de crecimiento en los próximos años preocupante.

Por ello, la preparación de sistemas, equipos, redes y softwares, así como la formación actualizada de un personal especializado y una formación en higiene cibernética del usuario ordinario, se hace crucial para obtener infraestructuras más resilientes. Infraestructuras que eviten, repelan, detecten, contrataquen y se restauren, previniendo la perdida de datos, clientes y dinero.

Lo que deberías recordar del Ransomware as a Service

  • La protección de datos es crucial para empresas, organizaciones y particulares.
  • Nunca ha sido tan fácil perpetrar un cibercrimen.
  • La actualización y antelación son fundamentales.
  • La formación del personal a diferentes niveles es crucial.
Compartir este post

También te puede interesar...

Tecnología

EDR, MDR y XDR: Reforzando la ciberseguridad

04 Diciembre 2023 Pablo Alcarria Lozano
Conviértete en Cybersecurity Manager

Gestión en ciberseguridad: Conviértete en Cybersecurity Manager

1 hora y 19 minutos · Curso

Esta formación está diseñada para quienes aspiran a ser Managers en Ciberseguridad, proporcionando una guía detallada sobre nuestro itinerario de formación en este campo. Aprenderemos …

  • Gestión de la Información
Cursos
Ver todos
Artículos
Ver todos