Los ataques de ransomware son cada vez más sofisticados y complejos, e incluso han evolucionado hasta convertirse en un servicio bajo demanda (RaaS) entre los delincuentes digitales, facilitando ataques e invasiones de sistemas de datos y perjudicando a miles de empresas al año.

El concepto de ransomware como servicio (RaaS) está permitiendo a los ciberdelincuentes lanzar ataques exitosos contra diferentes tipos de empresas. Y esta "normalidad" se ha reflejado en cifras: los ataques de ransomware aumentaron un 13 % en 2021, lo que supera el total de lo registrado en los últimos cinco años.

Básicamente, el ransomware como servicio es un tipo de ciberataque en el que los delincuentes utilizan software preconfeccionado para lanzar un ataque, normalmente previo pago.

Este tipo de ataque se ha vuelto cada vez más popular en los últimos años y está ganando impulso en 2022, ya que permite incluso a aquellos con habilidades limitadas lanzar un ataque de ransomware. En otras palabras, permite a los ciberdelincuentes que lo deseen extorsionar a sus víctimas sin poseer necesariamente la técnica y los conocimientos necesarios, abriendo toda una nueva brecha de acción en el universo hacker. 

Su empresa en peligro: los ataques RaaS son más sofisticados, ya que los ciberdelincuentes tienen acceso a mejores herramientas y recursos.

Con el modelo RaaS, el ransomware se convierte en una mercancía fácil de comprar y vender en la web oscura. Se trata de un modelo "basado en suscripciones" que permite a los delincuentes afiliados utilizar las herramientas ya desarrolladas del malware para ejecutar ataques. 

En la práctica, estos "kits de ransomware", que se venden en la web oscura, permiten a los proveedores de RaaS poder ofrecer asistencia al cliente, lo que facilita a los atacantes obtener ayuda si se encuentran con un problema.

Los proveedores de ransomware como servicio suelen recibir una parte de cualquier rescate pagado, lo que les da un incentivo financiero para seguir desarrollando y mejorando sus herramientas. También existe la posibilidad de cobrar una cuota mensual.  

Estas soluciones de malware pagan altos dividendos a sus afiliados. La demanda media de rescate ha aumentado un 33% desde el tercer trimestre de 2019 hasta 111.605 dólares, y algunos afiliados ganan hasta el 80% de cada pago de rescate.

Como resultado, en el tercer trimestre de 2020, los ataques de ransomware aumentaron globalmente un 40 %, hasta 199,7 millones de casos. Solo en Estados Unidos, los ataques aumentaron un 139 % interanual, hasta 145,2 millones de casos en el tercer trimestre de 2020.

Con este gran margen de beneficios, unido a la comodidad y facilidad del modelo RaaS, las empresas deben ser conscientes de los peligros que plantean estos ataques y tomar medidas para protegerse.

Principales variantes conocidas del ransomware como servicio

Uno de los primeros pasos que hay que dar para prevenir los ataques de ransomware es conocer las principales variantes que existen en el "Mercado" de los ciberdelincuentes.

Muchos de los grandes nombres del ransomware son también importantes operadores de RaaS. Algunas de las variantes más peligrosas son:

• Ryuk: una de las variantes de ransomware más utilizadas y de mayor valor. Los resultados de sus ataques muestran que Ryuk es responsable de alrededor de un tercio de las infecciones de ransomware del año pasado. El malware también es eficaz a la hora de convencer a los objetivos para que paguen sus peticiones de rescate y hasta ahora ha conseguido unos 150 millones de dólares.

• Lockbit: Lockbit, que ISH ha cubierto anteriormente, ha existido desde septiembre de 2019, pero solo recientemente ha entrado en el mundo RaaS. Se centra en cifrar rápidamente los sistemas de grandes organizaciones, minimizando la oportunidad de que los defensores detecten y eliminen el malware antes de que el daño esté hecho.
  
• REvil/Sodinokibi: REvil compite con Ryuk como la variante de ransomware más codiciosa. Este malware se propaga de múltiples maneras, y se sabe que los afiliados a REvil aprovechan VPNs Citrix y Pulse Secure sin parches para infectar sistemas.

• Egregor/Maze: La variante de ransomware Maze pasó a la historia por ser la primera en introducir la "doble extorsión", que consiste en robar datos como parte de un ataque de ransomware y amenazar con violarlos si no se paga un rescate. Aunque Maze ha cesado sus operaciones, las variantes de ransomware relacionadas -como Egregor- siguen operativas y funcionan bajo el modelo de afiliación RaaS.

Estas son sólo algunas de las variantes de ransomware que utilizan el modelo RaaS. Muchos otros grupos de ransomware también trabajan con afiliados. Sin embargo, la escala y el éxito de estos grupos de malware significa que tienen el poder de atraer a expertos para difundir su malware.

Protección contra ataques RaaS

Para protegerse contra los ataques de ransomware como servicio, las empresas deben adoptar un enfoque multicapa que combine la ciberseguridad tradicional, como cortafuegos y detección de intrusiones, con soluciones de copia de seguridad y recuperación ante desastres.

Las empresas deben tener en cuenta los siguientes pasos para proteger su red contra los ataques RaaS:

1. invierta en una solución de cortafuegos avanzada que pueda detectar y bloquear la comunicación entre el malware y sus servidores.

2. Implemente una solución de detección y prevención de intrusiones que pueda supervisar el tráfico de la red en busca de actividades sospechosas.

3. Asegúrate de que todos tus dispositivos están actualizados con los últimos parches de seguridad.

4. Forme a sus empleados para reconocer y evitar el phishing y otras técnicas de ingeniería social.

5. Implemente una solución de copia de seguridad y recuperación ante desastres para garantizar que su empresa pueda restaurar sus datos en caso de que el ataque tenga éxito.

6. Supervise continuamente su red para detectar ataques en tiempo real.

7. Disponga de un plan de respuesta a incidentes para garantizar que su empresa pueda minimizar los daños en caso de ataque.

Siguiendo estos pasos, las empresas pueden reducir significativamente el riesgo de sufrir un ataque de ransomware con éxito.

¿Corre su empresa el riesgo de sufrir un ataque de ransomware?

La respuesta es sí y el riesgo es permanente. De lo que no se dan cuenta, o aún no se han dado cuenta, muchos directivos de empresas y profesionales de TI es de que están luchando contra un enemigo invisible que evoluciona constantemente.

Por lo tanto, es esencial mantenerse al día de las últimas tendencias en ciberseguridad para estar al tanto de las amenazas a su empresa y tomar las medidas necesarias para proteger sus datos.

Hable con uno de los expertos de ISH y aprenda a invertir en seguridad y protección de datos, y deje a su empresa un paso por delante de los ciberdelincuentes.