This post is also available in: Português Español
¿Ya has escuchado sobre el RaaS? ¿Sabes de qué se trata?
Ransomware-as-a-Service, o RaaS, por su abreviatura, es un término de seguridad digital, que se refiere a las bandas de ciberdelincuentes que alquilan ransomware a otras bandas criminales. Estos alquileres pueden realizarse a través de un portal dedicado a eso, o mediante threads en foros de hackers.
¿Cómo funciona el alquiler de ransomware?
Los portales RaaS proporcionan un código de ransomware prefabricado para otras bandas, que se denominan clientes o afiliados de RaaS. Estas bandas alquilan el código del ransomware, lo personalizan utilizando las opciones que les proporciona RaaS y despliegan ataques en el mundo real utilizando el método de su elección.
Los métodos utilizados pueden incluir ataques de phishing, campañas masivas y de spam por correo electrónico, el uso de credenciales RDP comprometidas para obtener acceso a las redes corporativas, o el uso de vulnerabilidades en los dispositivos de red para obtener acceso a las redes internas de la empresa.
Independientemente de cómo las bandas de afiliados consigan infectar a la víctima, los pagos por estos incidentes van a la banda RaaS, que se queda con un pequeño porcentaje y le pasa el resto al afiliado.
Estos portales de oferta de RaaS existen desde 2017 y han sido ampliamente adoptados ya que permiten a las bandas criminales sin muchos conocimientos técnicos propagar el ransomware sin necesidad de saber codificar y manejar conceptos avanzados de criptografía.
RaaS separado en capas
Actualmente se anuncian unas 25 ofertas de Raas en la escena clandestina del hacking, según un informe publicado por Intel 471.
El número de portales RaaS disponibles hoy en día es mucho mayor de lo que los expertos en seguridad digital pensaban que podría ser, y muestra la multitud de opciones que las bandas de ciberdelincuentes tienen a su disposición en caso de querer iniciar ataques de rescate.
Sin embargo, no todas las ofertas de RaaS ofrecen las mismas características. Según Intel 471, que ha realizado un seguimiento de estos servicios, existen tres niveles diferentes en función de la sofisticación, las características y el historial probado de RaaS.
Primer nivel
Esta es la capa de operaciones ransomware más conocidas de la actualidad. Para ser clasificadas como RaaS de nivel 1, estas operaciones deben durar meses, demostrar la viabilidad de su código a través de un gran número de ataques y seguir operando a pesar de la exposición pública.
En este nivel están: REvil, Netwalker, DopplePaymer, Egregor (Maze) y Ryuk.
Con la excepción de Ryuk, todos los operadores de nivel 1 también gestionan los llamados sitios de filtración, que se dedican a denunciar y avergonzar a las víctimas como parte de su cartel de extorsión.
Estas bandas también utilizan una gran variedad de vectores de intrusión, cada uno de ellos en función del tipo de afiliados que reclutan. Pueden penetrar en las redes aprovechando los fallos de los dispositivos de red, pueden disponer de su carga útil de ransomware en sistemas ya infectados con otro malware, o pueden acceder a las redes de la empresa a través de conexiones RDP.
Segundo nivel
Se trata de una capa para los portales RaaS, que se han ganado una reputación en el submundo del hacking al proporcionar acceso a variedades avanzadas de ransomware, pero que aún no han alcanzado el mismo número de afiliados y ataques que los operadores de nivel 1.
En este nivel están: Avaddon, Conti, Clop, DarkSide, Mespinoza (Pysa), RagnarLocker, Ranzy (Ako), SunCrypt y Thanos.
Estos son los más prometedores en el mundo del ransomware.
Tercer Nivel
Esta capa es para los portales de RaaS recién lanzados o para las ofertas de RaaS sobre las que no hay información disponible.
En algunos casos no está claro si alguno de ellos sigue funcionando o si sus autores se han rendido tras intentarlo y no consiguen que sus portales despeguen.
En este nivel están: CVartek.u45, Exorcista, Gothmog, Lolkek, Muchlove, Nemtv, Rush, Wally, Xinof, Zeoticus y (llegada tardía) ZagreuS.
Aunque el ecosistema de la ciberdelincuencia clandestina genera beneficios a través de actividades delictivas, sigue siendo un mercado y, como todos los mercados, se rige por los mismos principios que guían cualquier otro mercado actual.
Un gran número de proveedores de servicios es un claro signo de que se trata de una economía en expansión no saturada.
La saturación del mercado RaaS sólo se producirá cuando los ciberdelincuentes creen más portales RaaS de los que los grupos afiliados estén dispuestos a contratar, o cuando las empresas refuercen sus medidas de seguridad, dificultando el proceso de intrusión, agotando las ganancias de los delincuentes.
This post is also available in: Português Español