Evolución del Ransomware al As-a-Service

Los ataques de ransomware saltaron al conocimiento del gran público con el secuestro masivo de datos de importantes empresas en 2017, cuando una variante de este malware conocida como WannaCry puso en jaque a compañías como Telefónica. 

Hace unos días Banco Estado fue víctima de un ataque de Ransomware que utilizó una cuenta de dominio para propagarse ocupando una vulnerabilidad reportada en 2018 -CVE-2018-8453- para ingresar a la infraestructura del banco. 

Si bien el volumen total de ataques de ransomware (187 millones) disminuyó un 9% durante el 2019, los ataques altamente selectivos dejaron paralizados a muchos gobiernos estatales, retail e industrias, eliminando los servicios de comunicaciones por correo electrónico, webs, líneas de teléfono, operaciones e incluso oficinas enteras.

Los ciberdelincuentes han utilizado nuevas técnicas de ofuscación de código, y de detección de sandboxes y máquinas virtuales, dando como resultado una multitud de variantes y el desarrollo de nuevos y más sofisticados kits de exploits, basados en ataques sin archivos.

La línea entre los ataques de ransomware y las brechas de datos cada vez se acorta más. De hecho, a principio de este año se desplegaron una serie de prolíficos operadores de ransomware como Maze, Sodinokibi, DoppelPaymer, Nemty, Nefilim, CLOP y Sekhmet, creando sus propios sitios web donde publican los datos de víctimas que no pagaron un rescate.

En 2020, Emsisoft dijo que los grupos de ransomware han amenazado con: vender datos robados a competidores; utilizar datos robados para atacar a los socios comerciales de las víctimas; y dar a conocer los “secretos sucios” de las víctimas en la web para que todos los vean. 

Esto ha hecho que el ransomware evolucione de manera conjunta con las tácticas de extorsión, volviéndose cada vez más peligroso. Acá revisamos los principales tipos de esta ciberamenaza.

Tipos de ransomware

Hay tres tipos principales de ransomware, cuya gravedad va desde «algo molesto» a peligro del nivel de «crisis de los misiles de Cuba». Son los siguientes:

Scareware

El scareware no resulta tan temible. Incluye programas de seguridad falsos y ofertas falsas de soporte técnico. Podría recibir un mensaje emergente que le informa de que se ha detectado malware y que la única forma de librarse de él es pagar. Si no lo hace, seguramente continuará siendo bombardeado con mensajes emergentes, pero sus archivos están básicamente a salvo.

Bloqueadores de pantalla o “lockscreen”

Con estos la alerta pasa a naranja. Si un ransomware que bloquea la pantalla llega a tu equipo, básicamente te impedirá el uso este por completo.

Imagen vía SensorsTech

Ransomware de cifrado o “cryptolockers”

Este es el peor de todos ya que secuestra los archivos y los cifra, exigiendo un pago para volver a descifrarlos y entregarlos. La razón por la que este tipo de ransomware es tan peligroso es porque una vez que los ciberdelincuentes se apoderan de los archivos, no hay ningún software de seguridad ni restauración del sistema capaz de devolvérselos. A menos que pague el rescate, puede despedirse de sus archivos. E incluso si se paga, no hay ninguna garantía de que los ciberdelincuentes devuelvan los archivos. Todo queda a la suerte.

Pantalla ransomware Maze

As-a-Service ¿En qué consiste?

Un Ransomware modelo As-a-Service significa que toma prestado el modelo Software-as-a-Service (SaaS). El modelo, en este caso malicioso, y basado en la suscripción, permite a un cibercriminal novato o amateur lanzar ataques ransomware sin mucha dificultad. El ciberatacante puede encontrar varios paquetes RaaS en el mercado que reducen la necesidad de saber codificar un malware. Por ende, se han vuelto muy comunes, siendo utilizados, en muchos casos, por ciberdelincuentes que no tienen mucho conocimiento técnico, pero que quieren realizan un ataque complejo.

En palabras sencillas, estos ransomware funcionan como una »franquicia», donde sus creadores son los encargados de escribir el código, y luego se dedican a venderlo y/o arrendarlo. La mayoría funcionan bajo un programa de afiliación para quienes tengan la intención de lanzar un ataque. Además, se brinda conocimiento técnico e información paso a paso sobre cómo lanzar un ataque de ransomware utilizando el servicio, además de una plataforma que incluso puede mostrar el estado del ataque utilizando un tablero en tiempo real. Una vez que el ataque tiene éxito, el dinero obtenido se divide entre el proveedor del servicio, el codificador y el atacante.

Este modelo es muy tentador para algunos ciberdelincuentes, siendo posible encontrar en la Dark Web.