Grupos de Ransomware como servicio (RaaS) expanden su actividad criminal en Latinoamérica
- Cualquier persona, sin necesidad de tener grandes conocimientos técnicos, puede comprar ransomware y utilizarlo contra el objetivo que haya elegido.
- La competencia entre los proveedores de Ransomware como servicio (RaaS) también ha aumentado y han aparecido nuevos grupos de afiliación que ofrecen este tipo de servicios a través de la Dark Web y Deep Web.
- Tener un centro de datos microsegmentado es el siguiente paso para proteger los activos digitales y una de las formas más eficientes de mantener una operación segura y sin contratiempos.
Los grupos de ransomware como servicio (RaaS) se han convertido en empresas, con estructuras que imitan a las propias compañías a las que pretenden extorsionar incluyendo servicio al cliente, capacitación de nuevos empleados y más, de acuerdo con el informe de amenazas de ransomware de Akamai 2022.
Oswaldo Palacios, Senior Account Executive para Guardicore (ahora parte de Akamai), estimó que un mayor número de los ataques de ransomware llevados a cabo en 2021 fueron por medio de RaaS debido a su accesibilidad. “Al igual que el modelo de software como servicio (SaaS), un hacker o grupo de hackers desarrollan un ransomware y lo ponen a la venta en la Dark Web y Deep Web, de manera que cualquier persona, sin necesidad de tener grandes conocimientos técnicos, puede comprarlo y utilizarlo para llevar a cabo ataques sofisticados contra empresas o instituciones públicas de una manera relativamente sencilla.
Anteriormente una operación de ataque a gran escala requería que los ciberdelincuentes fueran hackers cualificados, sin embargo, hoy con los modelos x-as-a-service esto ya no es relevante. Los grupos dedicados al ransomware como servicio operan prácticamente como una empresa de desarrollo de software, venden o alquilan kits de malware compactos, fáciles de desplegar e incluso ofrecen servicios de soporte a los ciberdelincuentes emergentes, reduciendo así la barrera de entrada y acelerando la introducción y propagación de ataques.
El citado estudio de Akamai revela que Conti es considerado como uno de los grupos más letales que genera variantes de RaaS proveniente de Rusia. Sin embargo, la competencia entre los proveedores de RaaS también ha aumentado y han aparecido nuevos grupos de afiliación que ofrecen este tipo de servicios a través de la Dark Web y Deep Web. “Aunque no hay forma de saber la localización exacta de estos ciberdelincuentes, existen herramientas y metodologías para enmascarar la ubicación y poder atacar cualquier objetivo desde un país diferente a la localización de los delincuentes. Se presume la ubicación debido a las compañías atacadas, lenguaje y mensajes de rescate. En algunas ocasiones la Policía Cibernética ha logrado rastrear las conexiones o centros de ataque, siendo Colombia, México y Brasil los países con mayor actividad cibercriminal en Latinoamérica”, informó Oswaldo Palacios.
Un ejemplo es el exitoso ataque de Conti al gobierno de Costa Rica el pasado mes de abril, que deshabilitó varios servicios informáticos tras la confirmación de un ciberataque en la plataforma digital del Ministerio de Hacienda. El informe Akamai Ransomware Threat Report H1 2022 destaca que no es sorprendente que Conti se centre en regiones específicas en lugar de otras. Su ataque a Costa Rica es una muestra de cómo su alineación con los objetivos estatales rusos puede hacer que alcance objetivos inesperados en muchas partes del mundo. Sin embargo, fuera de eso, parece haber una "regionalización" de los actores de amenazas de ransomware, que muestran una preferencia de idioma, región y país.
Grupos de RaaS como Conti han revelado que cuentan con varios departamentos encargados de la administración, finanzas y recursos humanos, junto con una jerarquía organizativa clásica con líderes de equipo que dependen de la alta dirección. El RaaS funciona, principalmente, a través de cuatro formas posibles: pagando una suscripción mensual a cambio de usar el ransomware; a través de programas de afiliación, donde aparte de la cuota mensual se paga también una comisión de los beneficios del rescate; mediante una licencia de un solo uso sin comisión; o solo a través de comisiones, es decir, no hay cuota mensual o de entrada, pero los desarrolladores del ransomware se llevan una comisión por cada ataque exitoso y rescate recibido.
El modelo RaaS beneficia a los desarrolladores de malware de varias maneras, les permite centrarse en mejorar su ransomware mientras sus afiliados se centran en la distribución, razón por la que el ransomware se ha vuelto tan lucrativo. “Se están haciendo esfuerzos en Latinoamérica para combatir a estos grupos criminales, sin embargo no son suficientes, ya que los gobiernos no cuentan con todos los recursos para hacer frente a este tipo de delitos. Por tal motivo, la iniciativa privada debe tomar cartas en el asunto y protegerse tanto como pueda y de manera proactiva”, aseveró Oswaldo Palacios.
Las organizaciones pueden implementar estrategias para mitigar el impacto de posibles ataques de ransomware. Si bien no siempre es posible evitar que ocurra un ataque de ransomware, las empresas pueden mejorar su capacidad para responder a estos incidentes y minimizar el daño causado.
A decir del Oswaldo Palacios, tener un centro de datos microsegmentado es el siguiente paso para proteger los activos digitales y una de las formas más eficientes de mantener una operación segura y sin contratiempos, esto es debido a que se autorizan comunicaciones y accesos de forma granular, es decir a nivel de proceso, y no hay forma de que un atacante pueda acceder a las joyas de la Corona Digitales. “Si el ataque viene desde dentro de la organización, no puede propagarse y es fácilmente localizado, con lo cual estamos ante una herramienta disruptiva desde el punto de vista de la ciberseguridad”, concluyó el directivo.