¿Sabes qué es el ransomware como servicio o ransomware as a service (RaaS)? Los ransomwares son un tipo de malwares que sirven para encriptar los archivos más importantes del ordenador de una víctima y, además, le exigen una suma de dinero como rescate a cambio de una clave para descifrar los archivos. Existen múltiples ransomwares y, con el desarrollo de la tecnología, cada vez son más sofisticados y complejos. De hecho, el modelo negocio con estos softwares ilícitos ya es complejo y elaborado de por sí.
En el año 2021, más de 5,2 billones de dólares en transacciones con bitcoins fueron relacionados con el pago de rescates de ransomwares. Los cibercriminales que utilizan este tipo de programas han llegado a exigir sumas de hasta 70 millones de dólares por un rescate. Además, quienes desarrollan estos softwares pueden ser distintos a quienes los distribuyen, debido a lo organizada que se encuentra esta industria ilegal en la dark web.
En este post, hablaremos sobre cómo funciona el modelo de negocio que se ha formado alrededor de este tipo de malwares. A continuación, te explicaremos qué es el ransomware como servicio (RaaS), cómo funciona y cuáles han sido algunas de las más grandes operaciones de este tipo.
¿Qué es el ransomware como servicio?
El ransomware como servicio, también conocido como ransomware as a service (RaaS), es un tipo de ransomware que pueden adquirir los atacantes por medio un modelo de suscripción, compraventa y/o comisión. Este modelo es la versión ilegal de los softwares como servicio (SaaS), que son programas cuyas licencias se adquieren de la misma manera.
No obstante, los ransomwares como servicio solo pueden ser encontrados en la dark net y, sorprendentemente, sus precios no son muy altos. Además, quienes los comercializan no solo se lucran con la suscripción de sus clientes, sino también con comisiones de los rescates pagados por las víctimas.
La pregunta de qué es el ransomware como servicio apareció por primera vez en el año 2016, con ejemplares como Cerber y Stampado. El segundo podía adquirirse en la dark web por tan solo 39 dólares, cuyo pago daba derecho a una suscripción de por vida al programa. Stampado encriptaba archivos de la víctima, demandaba una suma de dinero y, además, borraba uno a uno los archivos lentamente para ejercer presión.
El negocio con Stampado fue tan exitoso que pronto surgieron nuevas variantes y proyectos, como Philadelphia. Philadelphia fue un ransomware como servicio elaborado por los mismos creadores de Stampado y fue presentado como una versión deluxe del anterior. La suscripción costaba 400 dólares y el programa contaba con una interfaz para clientes, reseñas, descuentos, actualizaciones y más.
Ciclo del ransomware como servicio
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaYa hemos visto qué es el ransomware como servicio y cuál fue su origen. Ahora, revisaremos en detalle el ciclo de vida de estos programas para entender en profundidad cómo funciona este negocio y por qué es tan dañino para las organizaciones que ataca.
Creación
El ransomware como servicio fue creado para separar los procesos de desarrollo y distribución de este tipo de malwares. Por eso, los creadores de los ransomwares como servicio son aquellos que ofrecen el modelo de suscripción para adquirirlos. De este modo, no se preocupan por los métodos para propagar sus softwares y se pueden concentrar en desarrollar actualizaciones para los mismos.
Suscripción
Por otra parte, quienes adquieren suscripciones para estos softwares en portales de la dark net son aquellos que los utilizan para extorsionar directamente a las víctimas. El problema es que esto brinda la posibilidad de poner armas cibernéticas avanzadas en manos de atacantes inexpertos. No obstante, al mismo tiempo ofrece la ventaja para los desarrolladores de no tener que distribuir su software y, para quienes se especializan en ataques de ingeniería social, estas herramientas les permiten realizar extorsiones a gran escala.
Infección
Para entender qué es el ransomware como servicio, es necesario saber que existen varios tipos de ransomware que han evolucionado con el tiempo.
La infección por estos softwares varía según la variante de ransomware que se utilice para el ataque. Algunos de estos softwares solo cumplen con las funciones básicas de encriptar los datos y cobrar una suma determinada por su recuperación. No obstante, otros de ellos van más allá y ejecutan tareas especializadas y personalizadas para cada compañía que atacan.
Los ransomwares más avanzados, como Locky y Conti, son capaces de escanear la red y desplazarse lateralmente por ella en búsqueda de servidores con información confidencial. De hecho, Conti le permite a los atacantes hacer esto de manera remota y manual, de modo que pueden elegir qué servidores de una red atacar y qué archivos encriptar.
Otros ransomwares, como REvil (Ransomware Evil) o BitPaymer, también tienen la función de robar los archivos del sistema antes de encriptarlos. De este modo, también pueden amenazar a las víctimas con publicar sus datos confidenciales en caso de no hacer el pago del rescate.
¿Cómo aprender más?
Ya sabes qué es el ransomware como servicio y cómo funciona este ilegal modelo de negocio. Si quieres aprender más sobre análisis de malware y convertirte en un experto en ciberseguridad, tenemos la mejor opción para ti. Echa un vistazo a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en hacking ético, análisis de malware, criptografía y muchos temas más. ¿A qué sigues esperando? ¡Inscríbete ya!
