Los ciberdelincuentes se mueven por el afán de lucro, y pocas actividades les resultan más rentables que desplegar ransomware contra empresas desprevenidas.

El ransomware es un tipo de malware que utiliza el cifrado para bloquear o limitar el acceso de los usuarios a los sistemas -como bases de datos, servidores de archivos o aplicaciones- hasta que se pague un rescate. Los ataques de ransomware han aumentado considerablemente en los dos últimos años, hasta el punto de que Estados Unidos y otros países del G7 se comprometieron este año a trabajar juntos “para hacer frente urgentemente a la creciente amenaza compartida de las redes criminales de ransomware”.

¿Por qué ha proliferado el ransomware? Está claro que la escasez de profesionales de la ciberseguridad con experiencia en este tipo de ataques tiene algo que ver. Pero hay otro factor aún mayor en juego: el crecimiento del ransomware como servicio, o RaaS.

Cómo funciona el modelo RaaS

El ransomware como servicio (RaaS) es el gemelo malvado del modelo de negocio del software como servicio (SaaS), por el que el proveedor de software (en este caso, el desarrollador del ransomware) alquila su software (el ransomware) a los clientes (otros ciberdelincuentes) que luego lo utilizan para atacar a las empresas.

Los proveedores de RaaS utilizan una serie de modelos de ingresos, incluido uno en el que el proveedor recibe un porcentaje de cada pago de rescate y sus clientes (conocidos como “afiliados”) se quedan con el resto. Los proveedores de RaaS reclutan afiliados en la dark web y aceptan pagos en criptomoneda. Algunos grupos de RaaS incluso proporcionan manuales sobre cómo utilizar el malware, asistencia al cliente 24 horas al día y gestión del pago de rescates.

El modelo RaaS beneficia a los desarrolladores de malware de varias maneras. Mantiene a los desarrolladores alejados de los ataques reales de ransomware, permitiéndoles mantener alguna forma de anonimato o negación. Les permite centrarse en mejorar su ransomware mientras sus afiliados se centran en la distribución. Y lo que es más importante, es escalable: los principales desarrolladores de ransomware tienen cientos o incluso miles de ciberdelincuentes que hacen su trabajo por ellos, lo que, en pocas palabras, es la razón por la que el ransomware se ha vuelto tan lucrativo.

Ejemplos y variantes de RaaS

Al igual que los virus, el ransomware evoluciona constantemente, y se forman nuevas variedades y alternativas. Entre los ejemplos más destacados se encuentran:

• DarkSide – un grupo de RaaS de habla rusa que se cree que actúa independientemente de los actores estatales, pero con el apoyo implícito del gobierno ruso. Formado en 2020, DarkSide comenzó atacando dispositivos Windows, pero desde entonces se ha ampliado para incluir también capacidades de Linux. Es más conocido por el ataque de ransomware de mayo de 2021 al oleoducto Colonial en Estados Unidos, que interrumpió temporalmente el 45% del suministro de combustible de la Costa Este y les valió a los hackers el pago de un rescate de 4,4 millones de dólares.
• REvil (alias Sodinokibi): una operación de RaaS de habla rusa que se cree que está asociada con DarkSide. En julio de 2021 hackeó los ordenadores de un contratista que trabaja con el Ejército de Tierra, la Armada, las Fuerzas Aéreas y la NASA de Estados Unidos, y publicó los documentos robados en su Happy Blog. El ataque más exitoso de Revil desde el punto de vista financiero fue el que lanzó contra la empresa procesadora de carne JBS S.A., con sede en Brasil, que hizo que el desarrollador del ransomware y sus afiliados ganaran alrededor de 11 millones de dólares. El propio REvil fue hackeado y forzado a desconectarse en octubre de 2021 por una operación multinacional liderada por Estados Unidos, según Reuters.
• Ryuk – inicialmente se creía que procedía de Corea del Norte, pero ahora se sospecha que está dirigido por múltiples cárteles criminales rusos. El código de Ryuk se dirige a los cibersistemas de Microsoft Windows de grandes entidades públicas, bien a través de campañas de phishing que contienen enlaces a sitios web maliciosos o archivos adjuntos con el malware. Ryuk obtuvo 61 millones de dólares de rescates en 2018-19, según el FBI. En noviembre de 2020, obligó al sistema de escuelas públicas del condado de Baltimore, que atiende a 115.000 estudiantes, a cerrar temporalmente las clases.
• LockBit: otro proveedor de RaaS que utiliza afiliados para atacar a sus objetivos. Diseñado para atacar sistemas Windows, su mayor fortaleza es su capacidad de propagarse de forma autónoma a través de una red tras infectar manualmente un único host. La víctima reciente más destacada de LockBit fue Accenture, una empresa multinacional de servicios profesionales que, irónicamente, está especializada en servicios informáticos. Accenture dijo que no hubo impacto del ataque, pero informes de numerosas fuentes han afirmado que los atacantes publicaron miles de archivos en la Dark Web.
• DoppelPaymer (también conocido como Grief): apareció por primera vez en 2019 cuando lanzó ataques contra organizaciones de industrias críticas. Es uno de los principales grupos de RaaS que amenazan con publicar los datos de sus víctimas a menos que se pague un rescate (conocido como un ataque de “doble extorsión”. DoppelPaymer se silenció en la época del ataque de ransomware de DarkSide a Colonial Pipeline, pero desde entonces ha reaparecido y se ha rebautizado con el nombre de “Grief”. Sus peticiones de rescate oscilan entre 25.000 y 1,2 millones de dólares.

El rápido aumento del RaaS (y cómo se puede detener)

Probablemente nunca sabremos el impacto exacto del ransomware. Después de todo, los atacantes no publican informes anuales, y las víctimas suelen preferir ocultar los pagos embarazosos, a menos, claro está, que se trate de una empresa que cotice en bolsa y esté obligada por ley a revelar estas cosas a los accionistas.

Lo que sí sabemos con certeza es que los ataques de ransomware a empresas han aumentado considerablemente en los últimos dos o tres años. Chainalysis, una firma privada que rastrea las transacciones a blockchain, dice que en 2020 se hicieron al menos 350 millones de dólares en pagos de rescates. El Centro de Denuncias de Delitos en Internet (IC3) del FBI recibió la cifra récord de 2.474 denuncias por ransomware en 2020, con un total de 29,1 millones de dólares en pérdidas por el pago de rescates. Pero como el propio FBI reconoció, las pérdidas reales por ransomware son mucho mayores, debido a que las víctimas no siempre reportan ninguna pérdida y a que sus cálculos no incluyen el tiempo, los salarios y los equipos perdidos.

Aunque los ataques a las grandes corporaciones acaparan los titulares, el 23% de las pequeñas empresas y el 43% de las empresas en general declararon ser objeto de ciberataques en 2020, según un estudio encargado por la aseguradora especializada Hiscox a empresas de Estados Unidos y otros siete países. El 16% de las empresas que informaron de una violación de datos recibieron una demanda de ransomware, y el 58% de estas empresas pagaron un rescate por un importe medio de 11.900 dólares. Un estudio separado sobre los ataques de ransomware contra más de 300 PYMES estadounidenses realizado por NetDiligence, un especialista en evaluación de riesgos cibernéticos descubrió que la demanda media de rescate era de 12.000 dólares y la mediana de 81.000 dólares.

La buena noticia es que se puede detener a los grupos de RaaS si -y es un gran si- no hay un incentivo financiero. Como señaló recientemente TechRepublic, la respuesta de los gobiernos tras el ataque de Colonial Pipeline llevó a la prohibición de los grupos de ransomware en los foros rusos de la Dark Web, donde reclutaban afiliados. Esto, a su vez, redujo la rentabilidad del modelo de ransomware como servicio y provocó una pausa temporal en los ataques.

Conclusión

El ransomware -ya sea en forma de RaaS o de modelos futuros- seguirá existiendo mientras los delincuentes sigan cobrando. En un mundo ideal, las organizaciones dejarían de ceder a las demandas de los grupos de RaaS y los incentivos financieros para llevar a cabo ataques de ransomware simplemente desaparecerían.

En el mundo real, tu compañía puede hacer una serie de cosas prácticas para mitigar la amenaza del ransomware, empezando por el uso de sólidos filtros antispam para reducir la probabilidad de que los correos electrónicos de phishing lleguen a los usuarios. Otra forma en que tu empresa puede evitar ser víctima del ransomware es mediante el uso de un centro de operaciones de seguridad (SOC) gestionado. Un buen SOC supervisa su infraestructura crítica en tiempo real, lo que permite una rápida respuesta a los incidentes y reduce la superficie de ataque antes de que se extienda más allá de su control.