Ransomware como servicio: La nueva cara del ciberdelito industrializado

El modelo de ransomware como servicio ha facilitado un rápido perfeccionamiento e industrialización de lo que pueden conseguir los delincuentes menos capaces. En el pasado, estos delincuentes menos sofisticados podían haber usado malware básico que ellos mismos desarrollaban o compraban para realizar ataques de ámbito limitado, pero ahora pueden obtener todo lo que necesitan (desde el acceso a las redes hasta las cargas útiles del ransomware) de sus operadores de RaaS (por un precio, claro). Muchos programas de RaaS incorporan además un conjunto de ofertas de apoyo a la extorsión, que incluyen el hospedaje del sitio de la filtración y la integración en las notas de petición de rescate, así como la negociación del descifrado, la presión del pago y los servicios de transacción de criptomonedas.

Esto significa que el impacto de un ataque exitoso de ransomware y extorsión sigue siendo el mismo, independientemente de las aptitudes del atacante.

Una forma en que los operadores de RaaS aportan valor a sus afiliados es proporcionándoles acceso a redes comprometidas. Los agentes de acceso examinan Internet en busca de sistemas vulnerables, que pueden comprometer y reservar para su posterior beneficio.

Para tener éxito, los atacantes necesitan credenciales. Las credenciales comprometidas son tan importantes para estos ataques que cuando los ciberdelincuentes venden acceso a la red, en muchos casos, el precio incluye una cuenta de administrador garantizada.

Lo que hacen los delincuentes con su acceso una vez conseguido puede variar enormemente según los grupos y sus cargas de trabajo o motivaciones. Por tanto, el tiempo que transcurre entre el acceso inicial hasta la implementación práctica puede oscilar entre minutos y días o más, pero cuando las circunstancias lo permiten, el daño puede infligirse a una velocidad vertiginosa. De hecho, se ha observado que el tiempo que transcurre desde el acceso inicial al rescate completo (incluido el traspaso de un agente de acceso a un afiliado de RaaS) es inferior a una hora.

Una vez que los atacantes acceden a una red, se resisten a marcharse, incluso después de cobrar el rescate. De hecho, pagar el rescate puede no reducir el riesgo para una red afectada y potencialmente solo sirve para financiar a los ciberdelincuentes, que seguirán intentando monetizar los ataques con diferentes cargas útiles de malware o ransomware hasta que sean eliminados.

El traspaso que se produce entre los distintos atacantes a medida que se producen las transiciones en la economía ciberdelictiva significa que pueden conservarse múltiples grupos de actividad en un entorno usando diversos métodos distintos de las herramientas usadas en un ataque de ransomware. Por ejemplo, el acceso inicial obtenido por un troyano bancario conduce a la implementación de Cobalt Strike, pero la filial de RaaS que compró el acceso puede optar por usar una herramienta de acceso remoto como TeamViewer para operar su campaña.

Usar herramientas y configuraciones legítimas para persistir frente a implantes de malware como Cobalt Strike es una técnica popular entre los atacantes de ransomware para evitar ser detectados y permanecer residentes en una red durante más tiempo.

Otra técnica popular de los atacantes consiste en crear nuevas cuentas de usuario de puerta trasera, ya sean locales o en Active Directory, que después pueden agregarse a herramientas de acceso remoto como una red privada virtual (VPN) o un Escritorio remoto. También se ha observado a atacantes de ransomware editando la configuración de los sistemas para habilitar el Escritorio remoto, reducir la seguridad del protocolo y agregar nuevos usuarios al grupo de Usuarios de Escritorio remoto.

Una de las cualidades de RaaS que hace que la amenaza sea tan preocupante es cómo confía en atacantes humanos que pueden tomar decisiones informadas y calculadas y variar los patrones de ataque en función de lo que encuentran en las redes en las que aterrizan, asegurándose de cumplir sus objetivos.

Microsoft acuñó el término ransomware operado por humanos para definir esta categoría de ataques como una cadena de actividad que culmina en una carga útil de ransomware, no como un conjunto de cargas útiles de malware que hay que bloquear.

Mientras que la mayoría de las campañas de acceso iniciales se basan en el reconocimiento automatizado, una vez que el ataque pasa a la fase práctica, los atacantes usarán sus conocimientos y aptitudes para intentar derrotar a los productos de seguridad del entorno.

Los atacantes de ransomware están motivados por los beneficios fáciles, por lo que aumentar su coste mediante el refuerzo de la seguridad es clave para desbaratar la economía de los ciberdelincuentes. Esta toma de decisiones humana significa que, aunque los productos de seguridad detecten fases de ataque concretas, los propios atacantes no son expulsados del todo, sino que intentan continuar si no los bloquea un control de seguridad. En muchos casos, si una herramienta o carga útil es detectada y bloqueada por un producto antivirus, los atacantes simplemente toman una herramienta diferente o modifican su carga útil.

Los atacantes también son conscientes de los tiempos de respuesta del centro de operaciones de seguridad (SOC) y de las capacidades y limitaciones de las herramientas de detección. Para cuando el ataque llegue a la fase de eliminar copias de seguridad o copias instantáneas, faltarían minutos para implementar el ransomware. Es probable que el adversario ya haya realizado acciones dañinas como la exfiltración de datos. Esta información es clave para los SOC que responden al ransomware: investigar detecciones como Cobalt Strike antes de la fase de implementación del ransomware y llevar a cabo rápidas acciones de reparación y procedimientos de respuesta a incidentes (IR) es fundamental para contener a un adversario humano.