Trace Id is missing

Ransomware como servicio: La nueva cara del ciberdelito industrializado

Compartir
Dos flechas superpuestas sobre una línea y apuntando la una hacia la otra en diferentes trayectorias

 El nuevo modelo de negocio del ciberdelito, los ataques operados por humanos, anima a delincuentes de distintas habilidades.

El ransomware, una de las ciberamenazas más persistentes y generalizadas, sigue evolucionando, y su última forma representa una nueva amenaza para las organizaciones de todo el mundo. La evolución del ransomware no implica nuevos avances tecnológicos. En su lugar, se trata de un nuevo modelo de negocio: el ransomware como servicio (RaaS).

El ransomware como servicio (RaaS) es un acuerdo entre un operador, que desarrolla y mantiene las herramientas para alimentar las operaciones de extorsión, y un afiliado, que implementa la carga útil del ransomware. Cuando el afiliado realiza con éxito un ataque de ransomware y extorsión, ambas partes se benefician.

El modelo de RaaS disminuye la barrera de entrada para los atacantes, que pueden no tener las aptitudes o los medios técnicos para desarrollar sus propias herramientas, pero pueden administrar herramientas ya preparadas de pruebas de penetración y de administración de sistemas para realizar ataques. Estos delincuentes de nivel inferior también pueden simplemente comprar acceso a la red a un grupo delictivo más sofisticado que ya haya traspasado un perímetro.

Aunque los afiliados de RaaS usan cargas útiles de ransomware proporcionadas por operadores más sofisticados, no forman parte de la misma "banda" de ransomware. Más bien se trata de sus propias empresas distintas que operan en la economía ciberdelictiva general.

Aumentar las capacidades de los ciberdelincuentes y hacer crecer la economía general de la ciberdelincuencia

El modelo de ransomware como servicio ha facilitado un rápido perfeccionamiento e industrialización de lo que pueden conseguir los delincuentes menos capaces. En el pasado, estos delincuentes menos sofisticados podían haber usado malware básico que ellos mismos desarrollaban o compraban para realizar ataques de ámbito limitado, pero ahora pueden obtener todo lo que necesitan (desde el acceso a las redes hasta las cargas útiles del ransomware) de sus operadores de RaaS (por un precio, claro). Muchos programas de RaaS incorporan además un conjunto de ofertas de apoyo a la extorsión, que incluyen el hospedaje del sitio de la filtración y la integración en las notas de petición de rescate, así como la negociación del descifrado, la presión del pago y los servicios de transacción de criptomonedas.

Esto significa que el impacto de un ataque exitoso de ransomware y extorsión sigue siendo el mismo, independientemente de las aptitudes del atacante.

Descubrir y aprovechar las vulnerabilidades de la red... por un precio

Una forma en que los operadores de RaaS aportan valor a sus afiliados es proporcionándoles acceso a redes comprometidas. Los agentes de acceso examinan Internet en busca de sistemas vulnerables, que pueden comprometer y reservar para su posterior beneficio.

Para tener éxito, los atacantes necesitan credenciales. Las credenciales comprometidas son tan importantes para estos ataques que cuando los ciberdelincuentes venden acceso a la red, en muchos casos, el precio incluye una cuenta de administrador garantizada.

Lo que hacen los delincuentes con su acceso una vez conseguido puede variar enormemente según los grupos y sus cargas de trabajo o motivaciones. Por tanto, el tiempo que transcurre entre el acceso inicial hasta la implementación práctica puede oscilar entre minutos y días o más, pero cuando las circunstancias lo permiten, el daño puede infligirse a una velocidad vertiginosa. De hecho, se ha observado que el tiempo que transcurre desde el acceso inicial al rescate completo (incluido el traspaso de un agente de acceso a un afiliado de RaaS) es inferior a una hora.

Mantener la economía en movimiento: métodos de acceso persistentes y furtivos

Una vez que los atacantes acceden a una red, se resisten a marcharse, incluso después de cobrar el rescate. De hecho, pagar el rescate puede no reducir el riesgo para una red afectada y potencialmente solo sirve para financiar a los ciberdelincuentes, que seguirán intentando monetizar los ataques con diferentes cargas útiles de malware o ransomware hasta que sean eliminados.

El traspaso que se produce entre los distintos atacantes a medida que se producen las transiciones en la economía ciberdelictiva significa que pueden conservarse múltiples grupos de actividad en un entorno usando diversos métodos distintos de las herramientas usadas en un ataque de ransomware. Por ejemplo, el acceso inicial obtenido por un troyano bancario conduce a la implementación de Cobalt Strike, pero la filial de RaaS que compró el acceso puede optar por usar una herramienta de acceso remoto como TeamViewer para operar su campaña.

Usar herramientas y configuraciones legítimas para persistir frente a implantes de malware como Cobalt Strike es una técnica popular entre los atacantes de ransomware para evitar ser detectados y permanecer residentes en una red durante más tiempo.

Otra técnica popular de los atacantes consiste en crear nuevas cuentas de usuario de puerta trasera, ya sean locales o en Active Directory, que después pueden agregarse a herramientas de acceso remoto como una red privada virtual (VPN) o un Escritorio remoto. También se ha observado a atacantes de ransomware editando la configuración de los sistemas para habilitar el Escritorio remoto, reducir la seguridad del protocolo y agregar nuevos usuarios al grupo de Usuarios de Escritorio remoto.

Diagrama de flujo que explica cómo se planean e implementan los ataques de RaaS

Enfrentarse a los adversarios más escurridizos y astutos del mundo

Una de las cualidades de RaaS que hace que la amenaza sea tan preocupante es cómo confía en atacantes humanos que pueden tomar decisiones informadas y calculadas y variar los patrones de ataque en función de lo que encuentran en las redes en las que aterrizan, asegurándose de cumplir sus objetivos.

Microsoft acuñó el término ransomware operado por humanos para definir esta categoría de ataques como una cadena de actividad que culmina en una carga útil de ransomware, no como un conjunto de cargas útiles de malware que hay que bloquear.

Mientras que la mayoría de las campañas de acceso iniciales se basan en el reconocimiento automatizado, una vez que el ataque pasa a la fase práctica, los atacantes usarán sus conocimientos y aptitudes para intentar derrotar a los productos de seguridad del entorno.

Los atacantes de ransomware están motivados por los beneficios fáciles, por lo que aumentar su coste mediante el refuerzo de la seguridad es clave para desbaratar la economía de los ciberdelincuentes. Esta toma de decisiones humana significa que, aunque los productos de seguridad detecten fases de ataque concretas, los propios atacantes no son expulsados del todo, sino que intentan continuar si no los bloquea un control de seguridad. En muchos casos, si una herramienta o carga útil es detectada y bloqueada por un producto antivirus, los atacantes simplemente toman una herramienta diferente o modifican su carga útil.

Los atacantes también son conscientes de los tiempos de respuesta del centro de operaciones de seguridad (SOC) y de las capacidades y limitaciones de las herramientas de detección. Para cuando el ataque llegue a la fase de eliminar copias de seguridad o copias instantáneas, faltarían minutos para implementar el ransomware. Es probable que el adversario ya haya realizado acciones dañinas como la exfiltración de datos. Esta información es clave para los SOC que responden al ransomware: investigar detecciones como Cobalt Strike antes de la fase de implementación del ransomware y llevar a cabo rápidas acciones de reparación y procedimientos de respuesta a incidentes (IR) es fundamental para contener a un adversario humano.

Reforzar la seguridad contra las amenazas evitando la fatiga por alertas

Una estrategia de seguridad duradera contra adversarios humanos decididos debe incluir objetivos de detección y mitigación. No basta con confiar solo en la detección, porque 1) algunos eventos de infiltración son prácticamente indetectables (parecen múltiples acciones inocentes), y 2) no es infrecuente que los ataques de ransomware se pasen por alto debido a la fatiga por alertas causada por múltiples alertas de productos de seguridad dispares.

Dado que los atacantes disponen de múltiples formas de evadir y deshabilitar los productos de seguridad y son capaces de imitar el comportamiento de los administradores benignos para pasar desapercibidos en la medida de lo posible, los equipos de seguridad informática y los SOC deberían respaldar sus esfuerzos de detección con medidas de refuerzo de la seguridad.

Los atacantes de ransomware están motivados por los beneficios fáciles, por lo que aumentar su coste mediante el refuerzo de la seguridad es clave para desbaratar la economía de los ciberdelincuentes.

Estos son algunos pasos que las organizaciones pueden dar para protegerse:

 

  • Construir la higiene de las credenciales: Desarrolla una segmentación de red lógica basada en privilegios que pueda implementarse junto con la segmentación de red para limitar el movimiento lateral.
  • Auditar la exposición de credenciales: Auditar la exposición de las credenciales es fundamental para prevenir los ataques de ransomware y el ciberdelito en general. Los equipos de seguridad de TI y los SOC pueden colaborar para reducir los privilegios administrativos y comprender el nivel de exposición de sus credenciales.
  • Fortalecer la nube: A medida que los atacantes se desplazan hacia los recursos en la nube, es importante proteger los recursos y las identidades en la nube, así como las cuentas locales. Los equipos de seguridad deben centrarse en reforzar la infraestructura de identidades de seguridad, aplicar la autenticación multifactor (MFA) a todas las cuentas y tratar a los administradores de la nube o inquilinos con el mismo nivel de seguridad e higiene de credenciales que a los administradores de dominio.
  • Cerrar los ángulos muertos de seguridad: Las organizaciones deberían verificar que sus herramientas de seguridad funcionan con una configuración óptima y realizar exámenes periódicos de la red para asegurarse de que un producto de seguridad protege todos los sistemas.
  • Reducir la superficie expuesta a ataques: Establece reglas de reducción de la superficie expuesta a ataques para evitar las técnicas de ataque más comunes usadas en los ataques de ransomware. En los ataques observados de varios grupos de actividad asociados al ransomware, las organizaciones con reglas claramente definidas han podido mitigar los ataques en sus fases iniciales, al tiempo que impedían la actividad práctica.
  • Evaluar el perímetro: Las organizaciones deben identificar y proteger los sistemas perimetrales que los atacantes podrían usar para acceder a la red. Se pueden usar interfaces de examen públicas para aumentar los datos.
  • Proteger los recursos con acceso a Internet: Los atacantes de ransomware y los agentes de acceso usan vulnerabilidades sin revisión, ya divulgadas o de día cero, especialmente en la fase de acceso inicial. También adoptan nuevas vulnerabilidades rápidamente. Para reducir aún más la exposición, las organizaciones pueden usar las capacidades de administración de amenazas y vulnerabilidades de los productos de detección y respuesta de puntos de conexión para descubrir, clasificar por orden de prioridad y remediar las vulnerabilidades y los errores de configuración.
  • Prepararse para la recuperación: La mejor defensa contra el ransomware debe incluir planes para recuperarse rápidamente en caso de ataque. Costará menos recuperarse de un ataque que pagar un rescate, así que asegúrate de realizar copias de seguridad periódicas de tus sistemas críticos y de proteger esas copias contra el borrado deliberado y el cifrado. Si es posible, guarda las copias de seguridad en un almacenamiento inmutable online o totalmente desconectado o fuera del sitio.
  • Mayor defensa contra los ataques de ransomware: La amenaza polifacética de la nueva economía del ransomware y la naturaleza escurridiza de los ataques de ransomware operados por humanos exigen que las organizaciones adopten un enfoque integral de la seguridad.

Los pasos que hemos descrito anteriormente ayudan a defenderse de los patrones de ataque habituales y contribuirán en gran medida a prevenir los ataques de ransomware. Para reforzar aún más las defensas contra el ransomware tradicional y humano y otras amenazas, usa herramientas de seguridad que puedan proporcionar una visibilidad profunda entre dominios y capacidades de investigación unificadas.

Para ver una introducción adicional sobre el ransomware, con consejos y procedimientos recomendados para su prevención, detección y reparación, consulta Protege tu organización del ransomware, y para obtener información aún más detallada sobre el ransomware dirigido por humanos, lee el artículo de la investigadora principal de seguridad Jessica Payne Ransomware como servicio: Descripción de la economía gig del ciberdelito y cómo protegerte.

Artículos relacionados

Cyber Signals edición 2: Economía de la extorsión

Los expertos de primera línea explican el desarrollo del ransomware como servicio. Desde programas y cargas hasta agentes de acceso y afiliados, descubre las herramientas, tácticas y objetivos que prefieren los ciberdelincuentes y obtén directrices que te ayuden a proteger tu organización.
Más información

Perfil del experto: Nick Carr

Nick Carr, jefe del equipo de Inteligencia contra el ciberdelito del Centro de Inteligencia contra amenazas Microsoft, habla de las tendencias del ransomware, explica lo que está haciendo Microsoft para proteger a los clientes del ransomware y describe lo que pueden hacer las organizaciones si se han visto afectadas por él.
Más información

Proteger la organización del ransomware

Obtén una visión general de los actores criminales que operan en la economía clandestina del ransomware. Te ayudaremos a comprender las motivaciones y la mecánica de los ataques de ransomware y te proporcionaremos los procedimientos recomendados para la protección, así como para las copias de seguridad y la recuperación.
Más información