Informe: Ransomware-as-a-Service es una 'industria autosuficiente'

Un nuevo informe ha revelado las complejidades del ecosistema de ransomware de Internet y concluye que los actores que trabajan junto a los grupos de ransomware exigen más atención de la que reciben actualmente.

El informe detalla cómo los actores de amenazas están implementando una gran cantidad de técnicas de extorsión, a menudo en conjunto, para obligar a las empresas a negociar y, en última instancia, pagar tarifas para proteger y/o recuperar sus datos.

Al comprender los vectores de ataque más utilizados por los grupos de ransomware, las empresas pueden tomar medidas para protegerse. Los administradores de contraseñas , por ejemplo, son una forma de garantizar que los empleados de su empresa no proporcionen una forma fácil de ingresar con credenciales de cuenta débiles.

El ransomware como servicio está en auge

El informe de Tenable explica que una razón clave detrás del reciente auge del ransomware es "el advenimiento del ransomware como servicio (RaaS)".

En esencia, RaaS es un modelo de servicio, al igual que el software como servicio. Los grupos de ransomware crean el software, pero luego otros actores terminan irrumpiendo en los sistemas y desplegándolo.

Antes de esto, eran los propios grupos de ransomware los que realizaban todas las acciones del proceso, pero ahora, el sistema es infinitamente más complejo y hay varias etapas en las que los actores más pequeños pueden ganar dinero.

Explicación del ecosistema de ransomware

Tenable explica que, lo que es más importante, el ecosistema de ransomware no está compuesto solo por grupos de ransomware. Los grupos de ransomware son los creadores y propietarios del "producto" y, a su vez, reciben gran parte de la atención, pero en general, la empresa identifica tres "roles" principales que desempeñan un papel en la mayoría de los ataques de ransomware: IAB, afiliados y grupos de ransomware.

Los agentes de acceso inicial (IAB) son un "grupo especializado de ciberdelincuentes responsables de obtener acceso a las organizaciones a través de una variedad de medios".

En lugar de utilizar su acceso injustificado para orquestar su propio ataque de ransomware, explica el informe, los IAB "mantienen la persistencia dentro de las redes de las organizaciones víctimas y se lo venden a otras personas o grupos dentro del ecosistema del ciberdelito".

El mercado de IAB tenía un valor de $ 1,6 millones en 2019, pero creció a $ 7,1 millones en 2021 (Grupo-IB). Esta es una cifra mucho menor que el dinero ganado en otras partes de la cadena de ransomware, simplemente porque hay mucho menos riesgo.

El mercado de agentes de acceso inicial (IAB) tenía un valor de 1,6 millones de dólares en 2019, pero creció a 7,1 millones de dólares en 2021 – Group-IB

Después de la irrupción de los IAB, los actores conocidos como Afiliados comprarán el acceso que han extraído por entre unos pocos cientos y unos pocos miles de dólares. Alternativamente, usarán vectores de ataque como sistemas de protocolo de escritorio remoto de fuerza bruta, phishing, vulnerabilidades del sistema o credenciales robadas para ingresar a los servidores de la empresa.

El informe dice que estos actores funcionan de manera muy similar a los comerciantes afiliados que encuentran clientes potenciales en prácticas comerciales normales y legítimas: infectan el sistema y permiten que el grupo de ransomware "cierre el trato" e inicie el proceso de negociación.

Los Afiliados a menudo reciben instrucciones de los propios grupos de ransomware, lo que les ayuda a probar y utilizar sus creaciones.

Cómo la extorsión “doble”, “triple” y “cuádruple” hace que las empresas paguen

Tradicionalmente, los grupos de ransomware cifraban los archivos de una empresa y les hacían pagar para descifrarlos. Pero hoy en día, la mayoría de las empresas tienen copias de seguridad de archivos seguras, por lo que este método se volvió cada vez más ineficaz.

Sin embargo, en los últimos años, la "doble extorsión" se ha convertido en el estándar para muchos grupos de ransomware. Esto consiste en “exfiltrar datos de organizaciones de víctimas y publicar teasers” en foros web oscuros y sitios web de filtraciones. Las empresas, aterrorizadas de que se filtre información privada y confidencial en línea, pagan posteriormente.

En 2021, REvil obtuvo un pago de $11 millones de JBS, a pesar de que el sistema de la compañía estaba "totalmente operativo" en el momento del pago.

Sin embargo, esta táctica ya tiene varios años, y Tenable dice que se están utilizando otras técnicas en conjunto en intentos de extorsión "triples" o incluso "cuádruples".

Los métodos incluyen contactar a los clientes a los que se refieren los datos robados, amenazar con vender los datos robados al mejor postor y advertir a las víctimas que no se comuniquen con las agencias de aplicación de la ley.

Enfoque más allá de los grupos de ransomware

El informe sugiere que se debe prestar más atención al papel crucial que desempeñan los IAB y sus afiliados dentro del ecosistema de ransomware.

Los grupos de ransomware son, en esencia, impermanentes. Cuanto más éxito tienen, más afiliados quieren girar hacia ellos y usar su software, pero luego, a su vez, más agencias de aplicación de la ley intentan rastrearlos.

Muchos de los grupos de ransomware "infames" que aparecen en los titulares hoy en día, como el grupo Conti , son sucesores de otros grupos de ransomware. Si iniciaste una investigación sobre un grupo, es posible que ni siquiera exista dentro de un año. Sin embargo, los IAB y sus afiliados lo harán.

¿Qué pueden hacer las empresas para protegerse?

Tenable ofrece una serie de medidas mitigantes diferentes que las empresas pueden tomar para asegurarse de que no sean las próximas víctimas de un ataque de ransomware exorbitante. Estos incluyen el uso de la autenticación de múltiples factores, la auditoría continua de los permisos de los usuarios para las cuentas, la aplicación de parches a los activos vulnerables en su red, el fortalecimiento de los protocolos de escritorio remoto y el uso del software antivirus adecuado.

La lista también incluye fortalecer las contraseñas de sus empleados y advierte que "los requisitos de contraseña incluyen palabras largas y no incluidas en el diccionario". Una forma de asegurarse de que las contraseñas sean lo suficientemente largas sin tener que recordarlas es usar un administrador de contraseñas , que también permitirá a su personal crear contraseñas únicas para todas las cuentas que poseen en lugar de reutilizarlas.

Dado que el mercado RaaS, y los grupos maliciosos que participan en él, no muestran signos de desaceleración, tomar las máximas precauciones con sus datos nunca ha sido más importante.