El modelo de ransomware como servicio permite que nuevos grupos cibercriminales amplíen sus operaciones rápidamente




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

Sin duda uno de los mayores daños colaterales de la pandemia por COVID-19 ha sido el incremento exponencial de los ciberataques, especialmente el ransomware. Este tipo de ataques se ha convertido en uno de los más redituables para los grupos delictivos, ya que — de acuerdo con datos de la unidad de investigación de SILIKN — en 2020 se cuadruplicó la cantidad que las organizaciones pagaron para recuperar su información.

La mayor parte de los ataques han sido a grandes empresas, institutos de investigación científica y dependencias de gobierno, grandes impactos que se han visto ampliamente difundidos en medios de comunicación y en redes sociales, lo cual agrava la preocupación de las organizaciones.

Un punto alarmante es el crecimiento que ha tenido el ransomware como servicio (RaaS), un modelo de negocio utilizado por los desarrolladores de ransomware, en el que alquilan variantes de ransomware. RaaS les brinda a todos, incluso a las personas sin muchos conocimientos técnicos, la capacidad de lanzar ataques de ransomware simplemente registrándose como afiliado.

Los paquetes o kits de RaaS permiten que los ciberdelincuentes que carecen de la habilidad o el tiempo para desarrollar sus propias variantes de ransomware estén en funcionamiento de forma rápida y asequible.

Al operar como un negocio legal, el kit de RaaS puede incluir soporte técnico 24 x7, paquetes de ofertas, reseñas de usuarios, foros, entre otros datos. El precio de los kits de RaaS varía de alrededor de $50 dólares al mes, hasta miles de dólares al mes.

En este sentido, uno de los grupos cibercriminales que ha aprovechado este modelo de negocio de RaaS para extender sus actividades delictivas ha sido Prometheus, una banda delictiva que afirma haber afectado a unas 30 organizaciones desde principios de este año.

Prometheus, apareció por primera vez en febrero 2021 y es un grupo que hace uso de tácticas de doble extorsión — cifrado y robo de datos — para extraer dinero de las víctimas. El grupo cuenta con un sitio de filtración en el que publica a las nuevas víctimas y sus datos robados — los cuales están disponibles a la venta — de las organizaciones que se niegan o no pueden pagar el rescate exigido.

De acuerdo con datos que se ha dado a conocer el grupo criminal, Prometheus haber vulnerado al menos 30 organizaciones en múltiples sectores, entre los que se encuentran gobierno, manufactura, servicios financieros, logística, aseguradoras y atención médica, de países como Estados Unidos, Brasil, Francia, Perú, México, Noruega e Inglaterra.

En promedio, el grupo ha exigido entre $6,000 y $ 100,000 dólares en criptomonedas como rescate — cantidades relativamente modestas según los estándares actuales de extorsión cibernética — . No obstante, el monto del rescate exigido se duplica si las víctimas no responden dentro del plazo de una semana establecido por el grupo delictivo. Se ha dado a conocer que, hasta este momento, cuatro víctimas han pagado el rescate para recuperar sus datos.

Un dato importante es que Prometheus se ha presentado a sí mismo como un grupo perteneciente a REvil (también conocido como Sodinokibi), una banda delictiva operadora de RaaS, que se cree es responsable del ataque que paralizó las operaciones del proveedor de carne estadounidense JBS USA.

En este sentido, JBS USA, dio a conocer que pagó el equivalente a $11 millones de dólares en rescate a los atacantes. Andre Nogueira, CEO de JBS USA, dijo en un comunicado que la decisión de pagar se tomó después de consultar con profesionales internos de tecnología y expertos en ciberseguridad externos. JBS USA tomó la decisión de “mitigar cualquier problema imprevisto relacionado con el ataque y asegurarse de que no se han filtrado datos”. En el momento del pago, la gran mayoría de las instalaciones de la empresa estaban operativas.

En cambio, el grupo parece estar entre los muchos nuevos que han podido escalar rápidamente las operaciones mediante la adquisición de código de ransomware, infraestructura y acceso a redes comprometidas a través de proveedores externos.

El propio malware de Prometheus, por ejemplo, parece ser una nueva variante de Thanos, una herramienta de ransomware previamente conocida que ha estado disponible para la venta en los mercados de la Dark Web durante meses. Y es posible que Prometheus esté distribuyendo el ransomware en las redes de las víctimas, mediante la compra de accesos a las redes comprometidas en mercados clandestinos.

Un aspecto preocupante es que el dinero que los grupos de ransomware están obteniendo de sus víctimas los esté preparando para lanzar ataques aún más grandes y potencialmente más destructivos en el futuro. Además, esto también provocará que el volumen de ataques de ransomware se dispare a corto plazo a medida que más delincuentes utilicen el modelo RaaS como herramienta.

Incluso se considera que la cantidad de grupos de ransomware conocidos públicamente es solo la punta del iceberg, por lo que es prioritario que gobiernos y empresas trabajen en conjunto para rastrear activamente y desarticular a las bandas, al mismo tiempo que se ofrece capacitación a las organizaciones sobre cómo protegerse

Ya que la tendencia es que aumenten estos ataques de ransomware dirigidos en el transcurso de los próximos meses, como usuarios debemos estar preparados para poder identificar los ataques de este tipo y actuar en consecuencia. La base de una ciberseguridad efectiva es la preparación, la formación y la concientización.

Para más información, visite: https://www.silikn.com/