En los últimos años, ha empezado a popularizarse una alternativa para realizar ciberataques a empresas, Esta alternativa de distribución supone una mayor accesibilidad a las herramientas necesarias para realizar un ataque y reduce significativamente el tiempo de ejecución y planificación. Esta nueva tendencia se traduce en una mayor amenaza para las empresas, dificulta las tareas de atribución y supone un sobrecoste en los recursos necesarios para solucionar las incidencias y desmantelar los grupos criminales.
Estamos hablando del RaaS (Ransomware como Servicio), este modelo de negocio se basa en aplicar la misma estrategia que un modelo SaaS (software como Servicio). La principal diferencia con su equivalente legal es que el software distribuido está diseñado para realizar ataques a otras empresas, y normalmente puede encontrarse solo en la dark web.
Si analizamos las ventajas que el RaaS trae al mundo de la ciberdelincuencia, no es difícil entender porque está aumentando tanto en popularidad.
En primer lugar, los desarrolladores del software son un grupo diferente al usuario que realiza los ataques y en vez de dedicar recursos a realizar ataques, los dedican a la distribución y captación, por lo que la accesibilidad a este tipo de software es mucho mayor. Los hackers ya no necesitan desarrollar o modificar software para atacar a las empresas, pueden adquirirlo en pocos minutos, listo para atacar. En resumen, los desarrolladores ya no necesitan realizar ataques para ganar dinero, y los atacantes no necesitan tantos recursos para realizar los ataques.
Gracias a esta creciente distancia entre el software y el atacante, la atribución de incidentes es cada vez más difícil. Los profesionales de la ciberseguridad tienen que tener en cuenta que un software puede ser usado por múltiples grupos, y un solo grupo puede usar fácilmente distinto software. Además de dificultar la atribución, también se complican las tareas para desmantelar estos grupos, ya que si un operador es atrapado, los atacantes pueden usar otro operador. Y si se atrapa a un atacante, el software seguirá disponible para otros hackers. Si le sumamos las estrategias evasivas que estos grupos aplican para mantener los cobros entrantes, nos enfrentamos a un sistema muy resiliente.
Otro problema derivado de está división de funciones es que se abre la puerta a mayor especialización. Están empezando a aparecer perfiles especializados como los llamados “intermediarios de acceso”, que se dedican a vender puntos de acceso tras infiltrarse en una red. La especialización permite que cada grupo perfeccione su oficio, lo que supone software más potente y ataques más eficaces. Según IBM, el tiempo medio para ejecutar un ataque de ransomware se redujo de 60 días en 2019 a 3,85 días en 2022.
Al igual que su hermano legítimo, este modelo se caracteriza por tener un servicio y asistencia robustos. Cuando contratan los servicios, los hackers reciben soporte directo, acceso a foros privados, portales de procesamiento de pagos y muchas otras herramientas para ayudarles en sus actividades criminales.
Las principales medidas de protección estándar que se recomiendan contra el ransomware se aplican directamente contra RaaS. Los básicos son poner la cantidad máxima posible de obstáculos para disuadir al atacante y tener un sistema de recuperación robusto en el caso que fracase la disuasión.
Copias de Seguridad. Siempre se recomienda tener backupsde información sensible y de los sistemas críticos. Lo ideal es tener toda la infraestructura digital disponible a través de copias externas inmutables con una recurrencia alta.
Minimizar vulnerabilidades humanas a través de formación para los empleados, para ayudarles a reconocer y detectar las principales amenazas como phishing, enlaces maliciosos, etc.
Actualizaciones y factores de autenticación. Aunque puede ser poco ágil, implementar este tipo de controles de acceso y mantener los softwares actualizados puede reducir enormemente la cantidad de vulnerabilidades.
Plan integral de respuesta. Diseñar y preparar un plan de reacción, ya sea de manera interna o a través de un partner de ciberseguridad puede suponer una gran diferencia, los equipos de respuesta saben cuales son las principales tácticas y procedimientos que suelen usarse y en una situación de emergencia, su conocimiento es vital. También hay que tener en cuenta la aplicación de ciberseguridad proactiva para analizar y buscar amenazas, ya que incluso tras la recuperación, puede quedar intermediarios de acceso en la red.
El principal desafío es mantenerse actualizado sobre los cambios y evolución de este tipo de amenazas. Contar con un partner de ciberseguridad es crucial para auditar tus sistemas y determinar el grado de protección que requiere tu empresa, así como las herramientas necesarias para fortificar tu infraestructura digital. Algunas empresas ofrecen plataformas centralizadas para gestionar la infraestructura digital y actuar en caso de incidencia. En SoterGuard, hemos desarrollado la plataforma SoterSuite, que por ejemplo, cuenta con un módulo para gestionar y recuperar copias de seguridad, así como redundancia de servidores y otras herramientas de seguridad proactiva.
El objetivo es contrarrestar la creciente accesibilidad a herramientas para realizar ataques con una plataforma que facilite la gestión de las contramedidas y respuesta, equilibrando la balanza a favor de las empresas.
Es difícil tener conocimiento de que operadores están activos, de qué software son responsables y los grados de responsabilidad asociados a los atacantes. Además, no es raro que los nombres del software cambien para evitar acciones legales y dificultar las tareas de los profesionales de ciberseguridad. Estos son algunos de los operadores que se han podido identificar:
LockBit: Considerado el más popular, se estima que en 2022, el 17% de los incidentes de ransomware se perpetraron a través del software que proporcionan.
Tox: Se identificó por primera vez en 2015, por lo que muchos lo consideran el primer RaaS.
DarkSide: Tras realizar el considerado peor ataque contra infraestructuras críticas de Estados Unidos en 2021, cesaron la actividad oficial, aunque sus desarrolladores siguen activos y lanzaron un RaaS llamado BlackMatter.
Hive: Cerrado por el FBI tras los ataques a Microsoft Exchange Server en 2022, los usuarios de este software supusieron una grave amenaza para el sector financiero y sanitario en Estados Unidos.
El surgimiento y proliferación del RaaS ha transformado radicalmente el panorama de las ciberamenazas. Esta nueva modalidad de ciberdelito ha democratizado el acceso a herramientas de ransomware, reduciendo significativamente las barreras de entrada para los atacantes y aumentando la frecuencia y sofisticación de los ataques.
Monitoriza y protege tu infraestructura digital
Descubre nuestra solución todo en uno
Una nueva técnica permite a los cibercriminales evadir la verificación de correo electrónico de Google para establecer cuentas en Workspace y comprometer servicios externos
Un exploit de zero-day que afecta a la función de seguridad Smartscreen en Windows ha estado siendo utilizado activamente desde marzo de 2024. La vulnerabilidad permite a los atacantes eludir las protecciones ofrecidas por Smartscreen
Los ataques de denegación de servicio distribuida (DDoS) han experimentado un aumento del 46% en la primera mitad de 2024, según un reciente informe de ciberseguridad.
Una reciente brecha de seguridad ha puesto en evidencia la vulnerabilidad de las credenciales del Comité Nacional Demócrata (DNC), después de que un bot de Telegram fuera utilizado para exfiltrar datos sensibles.
En un importante fallo para la protección de la privacidad, el Tribunal de Apelaciones del Quinto Circuito ha declarado ilegales las órdenes de geofencing utilizadas por las agencias de seguridad para obtener datos de ubicación de teléfonos móviles.
Kiteworks, una innovadora empresa en el ámbito de la seguridad de datos, ha anunciado que ha recaudado 456 millones de dólares en una nueva ronda de inversión, alcanzando una valoración de 1.000 millones de dólares.
