La nueva tendencia del Ransomware como servicio
Los modelos de provisión de servicios TIC “As-A-Service” son una estrategia idónea para los departamentos de TI, que necesitan flexibilizar sus infraestructuras y hacerlas más ágiles en función de las necesidades de la organización en cada momento.
Son además una opción eficiente para transformar inversiones de capital (CapeX), muy rígidas y difíciles de amortizar en contextos de incertidumbre y evolución tecnológica acelerada, en costes de operación, que se realizan en función de la actividad de cada momento.
Las tecnologías “cloud” no han hecho sino impulsar estos modelos, por la escala que permite la nube, su ubicuidad y su buena relación coste-beneficio. Hoy día, prácticamente cualquier necesidad TIC que tiene una empresa puede ser aprovisionada como servicio, desde un paquete ofimático a la gestión de la infraestructura de red, pasando por soluciones de seguridad en todos los ámbitos.
Pues bien, como en esos otros dominios, los ciberdelincuentes también están utilizando los nuevos modelos de entrega de servicios de TI, y se aprovechan de las ventajas que estos modelos aportan, sobre todo flexibilidad para escalar el servicio y la disponibilidad de recursos de TI a demanda – no sólo tecnológicos sino también humanos. Esto está ocurriendo con el ransomware, actividad para la cual ya existen organizaciones que ofrecen “Ramsonware-As-A-Service (RaaS)”.
En efecto, muchas organizaciones criminales que o bien carecen del “know-how” técnico o de las infraestructuras necesarias para crear su propio ransomware pueden contratar este servicio en la red. Las plataformas RaaS incluyen soporte, foros comunitarios, documentación, actualizaciones y otros recursos, como cualquier plataforma SaaS del mercado. Algunos sitios incluso ofrecen documentación de marketing de apoyo y casos de éxito, y el coste es relativamente bajo. En algunos casos, los usuarios disponen de modelos de suscripción mensual o de “pago por éxito”, es decir, sin tarifa inicial y pagar cuando un ataque es exitoso.
La utilización de ataques RaaS con objetivos muy precisos está siendo muy lucrativa para los ciberdelincuentes. No son ataques masivos, sino que se utiliza ingeniería social para elaborar vectores de ataque de apariencia legítima, como correos electrónicos bien elaborados. En otros casos, los actores de amenazas pueden apuntar a vulnerabilidades específicas de un grupo de víctimas objetivo.
Los ataques de ransomware a JBS y Colonial Pipeline son ejemplos de organizaciones criminales que utilizan plataformas RaaS. Amenazar con exponer los datos de una víctima en sitios de datos exfiltrados, además de la encriptación de los archivos, aumenta la ventaja del actor de la amenaza de ransomware y es una parte fundamental de la estrategia del actor. Tal exposición puede ser más perjudicial que el impacto financiero que la víctima experimentaría pagando un rescate.
Según un informe publicado en ZDNet, casi dos tercios de los ataques de ransomware durante 2020 procedieron de plataformas basadas en RaaS. Además, cada vez más organizaciones criminales que operan a escala global proporcionan servicios de “ransomware” a cibercriminales de todo el mundo. A menudo, el modus operandi se parece mucho a una joint venture con beneficios compartidos. La parte que contrata el servicio se encarga del “hackeo” de los sistemas de la víctima, mientras que la plataforma RaaS proporciona el resto de herramientas y procesos: encriptación y/o exfiltración de ficheros y datos, procedimientos para cobro del rescate, etc., a cambio de un porcentaje de los beneficios. Este modelo permite que hackers muy cualificados sean contratados para penetrar en los sistemas de la víctima y por otro lado la plataforma RaaS se encarga del resto.
El círculo se cierra con el blanqueo de los rescates cobrados. En esta fase, las criptomonedas juegan un papel importante. Los fondos se transfieren hacia cuentas en criptomonedas y de ahí a cuentas bancarias tradicionales en países con normativas bancarias opacas o paraísos fiscales. Después de este blanqueo, la criptomoneda puede ser convertirse en efectivo en un país fuera del alcance de las autoridades del país de la víctima.
José Nieto, Senior Solutions Architect, Infoblox
José Nieto de Infoblox
