Autor: Diego Zerga, Presales Architect de NeoSecure by SEK en Peru
El ransomware a lo largo de los últimos años se sigue manteniendo como una de las principales amenazas latentes dentro del ámbito de la ciberseguridad y que ha ido evolucionando, logrando en la actualidad, que personas con capacidades técnicas y conocimientos limitados, con sólo tener un computador y acceso a Internet, puedan llegar a realizar ataques ciberneticos con gran impacto en la sociedad.
De acuerdo al “2022 Unit 42 Ransomware Threat Report” de Palo Alto Networks, el ransomware sigue creciendo significativamente como ciber amenaza actual. Este reporte menciona que en el último año, la demanda promedio de pago del rescate por casos de ransomware aumentó en un 144% a $2,2 millones de dólares, mientras que el pago promedio aumentó en un 78% a $541,010 dólares. Así mismo, se sabe que al momento de generar este reporte, el grupo Unit 42 ha venido reastreando al menos 56 grupos activos dedicados al RaaS.
Recordemos que el ransomware es un tipo de malware (software malicioso) que tiene como objetivo comprometer y cifrar los archivos e incluso el sistema completo de un usuario (víctima), y que sólo podrá acceder nuevamente a sus datos, si paga el rescate que le solicita el atacante, el cual se realiza mediante el uso de cripto monedas (generalmente en Bitcoin), de esta manera el atacante busca mantenerse en anonimato y evitar cualquier eivdencia o rastro que permitan dar con su paradero.
Entre los diversos avances y actualizaciones que ha venido teniendo el ransomware, aparece el Ransomware-as-a-Service (en adelante, RaaS), que consiste en un modelo de negocio que se ha vuelto muy lucrativo en los últimos años, alcanzando un valor de miles de millones de dólares anuales. Este tipo de modelo, está pensado para individuos o grupos de empresas con intenciones ciber criminales, quienes con la intención de reducir de manera considerable los esfuerzos y costos invertidos para llevar a cabo un ataque de ransomware, optan por utilizar herramientas pre-desarroladas por terceros a demanda, en lugar de construir e implementar su propio ransomware. Para ello, estos individuos, catalogados como “clientes afiliados”, tendrán a su disposición diferentes modalidades de pago, tales como el modelo de suscripción mensual, el uso de una tarifa plana, el pago por un tipo de licencia única, acordar con el afiliado el cobro de un porcentaje significativo de la recompensa tras el ciber ataque o incluso una combinación entre este tipo de modalidades.
Cabe resaltar que, estos proveedores de RaaS incluso llegan a ofrecer como parte de sus servicios, un esquema de soporte o asistencia a distancia en modalidad 24×7, el cual ponen a disposición hacia sus clientes (ciber atacantes), en caso tengan algun inconveniente para poner en marcha el malware recientemente alquilado o adquirido, e incluso, manejan sitios web en donde de manera anónima los clientes podrán realizar consultas o compartir experiencias con otros clientes afiliados.
Tengamos en cuenta que el RaaS sólo es uno de los tantos modelos de servicios con fines maliciosos que existen actualmente, como lo son también el acceso mediante diversos tipo de subscriciones a sitios donde se publican contraseñas comprometidas y robadas, el alquiler de herramientas para realizar ataques de Denegación de Servicios Distribuidos (DDoS), contratar software malicioso desarrollados con el objetivo de causar daño a entidades gubernamentales, financieras, hospitales e incluso infraestructuras críticas, entre otros servicios.
Según el “2023 CrowdStrike Global Threat Report”, algunos de los casos de ciber ataques más sonados a nivel mundial en los últimos años, que utilizaron el mecanismo del RaaS, son los siguientes:
Hive
Es un grupo de RaaS que se hizo conocido y popular en abril del 2022, por los casos de ataques dirigidos a organizaciones financieras, organizaciones sin fines de lucro, entidades del sector salud, entre otras más. Estos ataques tuvieron como objetivo comprometer la mayor cantidad de servidores de Microsoft Exchange a través del uso de la técnica “Pass-the-Hash” (es un típico ataque de ciberseguridad en el cual el atacante roba la credencial encriptada de un usuario y la usa para crear una nueva sesión de usuario dentro de la misma red). Se estima que este grupo alcanzó a generar cerca de más de 1,500 víctimas en todo el mundo y millones de dólares obtenidos a causa de las extorsiones por los pagos de rescates de datos secuestrados.
DarkSide
Se conoce que DarkSide es un grupo de ransomware del modelo RaaS, asociada a un grupo de eCrime. DarkSide opera tradicionalmente buscando comprometer máquinas con sistema operativo Windows y recientemente se han expandido sobre equipos con sistema Linux, apuntando a entornos empresariales que utilizan el sistema de hipervisores sobre VMware ESXi sin parchar o desactualizados e incluso haciendo uso de credenciales robadas de vCenter. Se sabe que el ciberataque que afecto a Colonial Pipeline en el año 2021 fue atribuido al ransomware de DarkSide, ataque que alcanzó a conseguir robar cerca de 100 GB de datos de la red de Colonial Pipeline y que la organización supuestamente tuvo que pagar aproximadamente $5 millones de dólares a un afiliado del grupo DarkSide.
REvil
REvil conocido también como Sodinokibi, se le atribuye como el ransomware que estuvo detrás de una de las más grandes demandas de rescate nunca antes registradas por casos de ataques de ransomware, la cifra del rescate asciende a los $10 millones de dólares. Se sabe además, que este tipo de ransomware es comercializado por el grupo eCrime conocido como Pinchy Spider, el cual lo ofrece en modalidad RaaS bajo el esquema de afiliado, quedandose generalmente con el 40% de las ganancias de sus clientes.
Dharma
Este tipo de ransomware ha sido atribuido a un grupo de ciber atacantes de origen Iraní, cuya motivacion es de caracter financiera. Se calcula que este RaaS ha estado disponible en la Dark Web desde el año 2016. Este tipo de ransomware está asociado con los ataques sobre el protocolo de escritorio remoto (RDP) y que el grupo de ciber atacantes suele exigir entre 1 y 5 Bitcoins de las ganancias de sus clientes sobre una gama amplia de industrias.
LockBit
El ransomware LockBit es un malware que también se encuentra disponible en modalidad RaaS, esto desde que empezó a ser desarrollado allá por setiembre del año 2019. Se sabe que este RaaS está pensado para afiliados de habla rusa o inglesa en su mayoria. En mayo del 2020, un cliente afiliado a LockBit publicó una amenaza de llegar a filrar datos confidenciales a través de un foro criminal en lenguaje ruso.
Se espera que los ataques de ransomware sigan creciendo, evolucionando y volviendose cada vez más sofisticados, buscando ser más poderosos, pasar desapercibidos, llegando a ser cada día más dificiles de identificar y detectar por los controles modernos de ciberseguridad que existen en la actualidad. Desde ya venimos observando que incluse los niveles de extorsión que emplean este tipo de amenazas de ransomware cada vez añaden una capa más al ciber ataque en cuestión, por ejemplo ya se conoce del ransomware de doble extorsión, el cual a parte de cifrar los datos de la víctima, amenaza también con revelar públicamente los datos secuestrados, a menos que se pague el rescate. Otro caso identificado es el ransomware de triple extorsión, el cual implica además del cifrado y secuestro de los datos de la victima, la amenaza de exposición de los datos y ahora también que la víctima podría sufrir un amenaza sobre la infraestructura y activos que soportan la operaciones críticas de su negocio, pudiendo recibir ciber ataques de Denegación de Servicio Distribuidos (DDoS) por citar un ejemplo.
Como parte de las recomendaciones y consejos más relevantes en términos de ciberseguridad, con el objetivo de que pueda prevenir ser víctima de este tipo de ataques RaaS, se debe de tomar en cuenta lo siguiente:
- Reforzar las campañas de concientización sobre ataques de ingenieria social y la cultura en seguridad informática y ciberseguridad para los empleados, proveedores y terceros, con el objetivo de minimizar la probabilidad de un ataque RaaS exitoso.
- Implementar controles de ciberseguridad de nueva generación para proteger el vector del correo electrónico, el cual es el más utilizado por los ataques de Ransomware, mediante el envío de correos con orígenes desconocidos, adjuntos y enlaces de dudosa reputación, que buscan obtener la confianza el usuario y se convierta en la puerta de entrada para un ataque que puede llegar a ser devastador.
- Implementar controles de ciberseguridad modernos para proteger el vector del Endpoint, permitiendo una adecuada detección, prevención y respuesta frente a ataques cibernéticos que emplean malware conocido y desconocido (día cero), técnicas de explotación, uso de herramientas nativas del sistema operativo (fileless-attacks), y el empleo de Ransomware.
- Realizar constantemente respaldos (backups) de información crítica para la operación del negocio, manteniéndolos debidamente almacenados en ubicaciones y dispositivos separados, pudiendo estar en la Nube o de manera On premises. Además, de mantener un esquema de pruebas regular sobre los respaldos generados, esto como parte del Plan de Recuperación ante Desastres (DRP, por sus siglas en inglés). Asegurando así, que estos se encuentren en correcto estado y puedan ser restaurados en caso de sufrir algún ataque cibernético que comprometa la información digital original.
- Mantener una adecuada gestión de parches de seguridad y del sistema operativo, así como de las aplicaciones corporativas que suelen utilizarse sobre las estaciones de trabajo y servidores que soportan la operación del negocio. De esta manera, poder estar protegidos y minimizar las probabilidades de que un ciber atacante aproveche alguna vulnerabilidad conocida y/o desconocida que pueda estar presente en la organización.
- Aplicar una estrategia moderna de Zero-Trust, que permita la implementación de controles de ciberseguridad y procedimientos, con el objetivo de aplicar buenas prácticas de segmentación y microsegmentación de red, un adecuado control de acceso, entre otros. Logrando así, minimizar una posible infección de manera aislada y controlada, evitando daños cuantitativos y cualitativos debido a una propagación lateral.