DestacadoSeguridad Informática

El ransomware como servicio, una amenaza cada vez mayor

El nuevo modelo de negocio del ransomware está haciéndose más fuerte. Aprende cómo actores maliciosos sin ninguna experiencia están llevando a cabo poderosos ataques informáticos a gran escala.

Atrás quedaron los días en que nuestra única preocupación eran las unidades USB con gusanos inocuos. El mundo de la ciberseguridad se ha vuelto muchísimo más complejo: phishing, cryptojacking, y sofisticados ataques de ransomware están a la orden del día. Los ciberdelincuentes, motivados por la ganancia económica, salen a infectar máquinas en busca de pagos en Bitcoin o la criptomoneda de turno.

Sin embargo, en los últimos meses hemos presenciado un giro que va más allá de la sofisticación meramente tecnológica. Grupos organizados de cibercriminales están ofreciendo servicios de software malicioso, de la misma manera en que una empresa SaaS le ofrecería sus productos a un potencial cliente. El creciente mercado de los “como-servicio” ha propiciado una verdadera revolución en la oferta para los actores maliciosos. Botnets-como-servicio, malware-como-servicio, y el que nos convoca: RaaS, o “ransomware-as-a-service”.

En el panorama actual de ataques de ransomware, es imposible no encontrarse con alguno de ellos. Según diversos estudios, de los primeros diez lugares en cuota de mercado de ransomware en el mundo, al menos cuatro son ofrecidos en modalidad como servicio. Sodinokibi, un RaaS nacido en Europa Oriental, concentra casi uno de cada cuatro ataques reportados de ransomware ocurridos en el primer cuarto de 2020.

Es preciso entender cómo una amenaza que ya era potencialmente peligrosa para nuestras organizaciones llegó a convertirse en un lucrativo modelo de negocio para hackers en todo el mundo.

Un recordatorio: ¿Qué es Ransomware?

Como explicamos en un artículo reciente, el ransomware es una de las amenazas crecientes en el mundo de la ciberseguridad. Cada año, la cifra de equipos infectados con alguna de estas amenazas va en aumento respecto al año anterior, y los ataques han logrado un nivel de complejidad asombroso, incluso a prueba de ingeniería inversa.

El ransomware es un tipo de encriptación maliciosa de tus dispositivos. Un actor malicioso o ciberdelincuente encripta los archivos de tu máquina y solicita rescate por ellos, usualmente en uno o varios pagos de diversas criptomonedas. Cuando uno efectúa el pago, los hackers liberan la llave privada para desencriptar nuestros documentos y archivos. 

Por supuesto, la experiencia puede ser diferente dependiendo de la maestría técnica de ambas partes o de la motivación de los hackers. Un usuario puede elegir no pagar, debido a que en general los datos que almacenamos en nuestros discos duros no son esenciales. Sin embargo, si trabajamos en una organización mediana o grande, lo más probable es que los documentos que están en nuestro equipo sean de gran importancia.

Esta situación pone a las empresas en una disyuntiva: desarrollar un plan de contingencia reactivo en caso de un ciberataque, o invertir fuertemente en copias de seguridad a prueba de fallos. En el caso de grandes empresas, corporaciones o entidades gubernamentales, ambas podrían estar implementadas. Lo cierto es que ambas opciones son costosas, ya sea por la necesidad de pagar a la hora de ser atacado, por las soluciones de protección necesarias para prevenir, o por el costo de cada GB usado en backups.

De esta forma, el Ransomware se ha convertido en un negocio muy lucrativo para hackers con motivos financieros. Lo que ha complejizado el panorama es precisamente este punto: convertir al Ransomware en un negocio en si mismo, donde los hackers ya no tienen la necesidad de atacar, sino sólo de vender la herramienta.

El modelo de licencia “como-servicio”

Si hay algo que podemos decir con toda seguridad, es que los servicios digitales o SaaS llegaron para quedarse. Practicamente cualquier funcionalidad puede ser adquirida en una modalidad SaaS o “como-servicio” en estos días. Infrastructura, escritorios virtuales, datacenters, gestión de dispositivos, antivirus y un gran número de microservicios específicos que –en mayor o menor medida– ahorran tiempo y costos de implementación y desarrollo.

De la misma manera, servicios maliciosos vieron la idea y se mudaron al mismo modelo de negocio. Sin embargo, un malware como servicio (MaaS) o un ransomware como servicio (RaaS) no puede comerciarse en los mismos mercados que un software común y corriente. Es ahí donde aparece la figura del mercado ilegal, encarnada en el vehículo más sencillo: la dark web.

En diversos foros –en algunos casos accesibles sólo a través de navegadores como Tor Browser– es posible encontrar muchísimo software malicioso, ofrecido por ciberdelincuentes a precios bastante exorbitantes pero con la promesa de recuperar la inversión en poco tiempo. En nuestra investigación sobre Cerberus notamos que suites enteras de malware móvil se ofrecen por precios que van desde los 4 mil hasta los 12 mil dólares. En el caso del Ransomware como servicio, una pieza investigativa de Bloomberg señala que es posible encontrar RaaS a precios que comienzan en los 150 dólares, principalmente para equipos Windows. Otra manera de licenciar es la del royalty compartido: todas las ganancias que un afiliado genere se dividen entre el creador y el atacante.

Este modelo es beneficioso tanto para el que produce el ransomware (el “desarrollador”), como para el que lo compra (el “afiliado”). Las razones son sencillas. El primer problema a la hora de desarrollar software malicioso es la dificultad técnica: no muchos desarrolladores son capaces de encontrar vulnerabilidades críticas o simplemente no cuentan con los conocimientos técnicos necesarios. Esto es ventajoso para los hackers que prefieren vender sus productos: cualquiera con los medios necesarios para adquirir este tipo de software puede hacerlo, dejándole la dificultad técnica a los expertos.

En esa misma línea, los desarrolladores dispuestos a crear kits de ransomware como servicio residen en un área gris. Ellos son los creadores del código y de las herramientas, además de administrar las diversas botnets y servidores necesarios para que el malware se ejecute. Sin embargo, ellos no son usuarios de este código y por lo tanto –en gran parte de los casos– no están violando ninguna ley. El “autor material”, al menos para la ley americana, es la persona que distribuye código malicioso y permite que se ejecute en otra máquina, sin el consentimiento de su dueño. 

El proceso del ransomware como servicio

Ahora, ¿Cómo funciona el modelo? Una investigación del Instituto de Ingeniería de Software de la Carnegie Mellon University lo describe usando una serie de pasos:

  1. El desarrollador de ransomware crea un exploit hecho a la medida (usando vulnerabilidades específicas y con ciertos tipos de datos como blanco), el que se licencia a un afiliado por un precio determinado o un porcentaje de lo recaudado en cada ataque.
  2. El afiliado del ransomware se lleva el código del exploit y accede al servidor o sitio en que la administración de este está alojada.
  3. El afiliado identifica un vector de infección y le envía el exploit a la víctima. Este vector puede ser un un correo electrónico con un documento adjunto malicioso; un hipervínculo a la descarga de un archivo malicioso, un sitio comprometido, código adjunto a un sitio inocuo, adware comprometido como malvertising, o abuso de otro tipo de servicio.
  4. El vector logra que la víctima haga clic o abra el archivo malicioso, y el exploit se transfiere directamente desde el servidor que lo aloja, agregando la máquina a una base de datos hecha a medida.
  5. El ransomware, ya descargado, explota alguna vulnerabilidad para tener el control, estableciendo un punto de apoyo en la red.
  6. El afiliado usa el ransomware para profundizar su acceso. El atacante busca privilegios de administración locales, la identificación de archivos para extraer y encriptar, el análisis de la red en busca de nuevos blancos, la modificación de configuraciones para establecer su permanencia, y la ejecución de herramientas de ofuscación y destrucción de copias de seguridad.
  7. El atacante instruye a la víctima al pago del rescate usando fondos no rastreables –como por ejemplo criptomonedas como Bitcoin– a un servicio de lavado de dinero, conocido como “mixing” o “tumbler”. El atacante puede incluso amenazar a la víctima con la publicación de los datos como consecuencia de no pagar el rescate.
  8. El lavador de dinero moverá el rescate a diferentes billeteras para proteger las identidades de los participantes y repartir el botín según corresponda.
  9. Al recibir el pago, el afiliado puede enviar a la víctima los medios necesarios para desencriptar y recuperar los archivos afectados, o realizar más demandas. En algunos casos el afiliado deja a la víctima sin ningún medio de descifrado, por lo tanto sin poder recuperar sus datos.

El estado del arte del RaaS en 2020

Otra investigación realizada este año por Coveware puso sobre la mesa el problema del Ransomware como servicio, tanto como una amenaza creciente como una fuente de ingresos importante para desarrolladores y afiliados. La siguiente tabla muestra las variantes de ransomware más activas durante el primer cuarto del 2020:

Fuente: Coveware

De las variantes mostradas arriba, Sodinokibi, Phobos, Dharma y GlobeImposter se distribuyen usando el modelo de ransomware como servicio, lo que representa aproximadamente el 46% del mercado total de ransomware. Atrás quedaron variantes como Cerber, que viera nacer el modelo RaaS y que acumulaba el 26% de los ataques de Ransomware durante el 2017. 

Las cuatro variantes mencionadas arriba acumulan una ganancia impresionante a su paso. En la conferencia RSA 2020, un investigador del FBI reveló cifras de billeteras Bitcoin relacionadas al RaaS. Los datos son aproximados pero evidencian el problema de fondo: Dharma recolectó 24,4 millones de dólares; Sodinokibi 6,6 millones; Phobos 5,3 millones; y GlobeImposter 3,26 millones.

Sodinokibi en particular se ha convertido en un dolor de cabeza, especialmente en Latinoamérica. Recientes ataques a diversas entidades bancarias en Chile y Argentina están relacionados a este ransomware. Se cree que Sodinokibi nació de la mano de los mismos desarrolladores de GandCrab, uno de los RaaS que demostró que el modelo podía ser realmente redituable.

Conclusiones

Si bien el ransomware como servicio tiene un modelo de negocio diferente, no dista demasiado del resto de amenazas de la misma índole. Sin embargo, es necesario estar preparado para una diferencia fundamental: los “afiliados” o usuarios de este tipo de ransomware como servicio no son expertos, y por lo tanto como encargados de IT o seguridad informática, tenemos una ventaja estratégica.

El resto de los consejos para mitigar este tipo de ataques son los usuales. En primer lugar, una gestión de activos es vital para establecer responsabilidades en todo sentido. Nuestro inventario debe abarcar dispositivos, clientes, servidores, plataformas, software y aplicaciones. Nuestra estrategia debe considerar la jerarquía de cada ítem del inventario: un endpoint de un empleado tiene un riesgo muy bajo comparado con los equipos gerenciales, por ejemplo.

Es sumamente importante evaluar los riesgos caso a caso, entendiendo que el error humano –en particular, el riesgo de phishing– es clave en casos de ransomware. La seguridad proactiva es obligatoria. El software de seguridad, como antivirus y protección contra el phishing debe estar actualizado. Copias de seguridad en formato físico con acceso limitado a la red también son una buena opción para reducir el downtime.

Si todo falla y somos atacados, existen diversas alternativas de descifrado que pueden servir para romper el candado de los cibercriminales. Como hemos mencionado en el pasado, es preciso agotar toda estrategia disponible antes de pagar un rescate. Este acto valida el ataque y no asegura que recuperemos nuestros archivos.

brecha laptop
Sobre el autor

Norman Gutiérrez

Norman Gutiérrez is our Security Researcher at Prey, one of the leading companies in the security and mobility industry, with more than 8 million users worldwide. In addition to this, Norm is Prey's Content and Communication Specialist, and our Infosec ambassador. Norm has worked for several tech media outlets such as FayerWayer and Publimetro, among others. In his free time, Norman enjoys videogames, cool gadgets, music, and fun board games.