Ciberseguridad 
Proteger las cuentas privilegiadas con llaves de seguridad FIDO2 es la mejor manera de mantenerlas a salvo de las amenazas internas y externas, porque ofrecen una
Publicado el diciembre 13, 2023
El ransomware como servicio (RaaS) es un modelo de negocio en el que los cibercriminales desarrollan y venden ransomware a compradores conocidos como afiliados que lo utilizan para ejecutar ataques de ransomware. El ransomware es un tipo de malware que impide que los usuarios accedan a sus datos o dispositivos cifrándolos y bloqueándolos hasta que se pague un rescate.
Por lo general, los cibercriminales necesitan saber algo de codificación para desarrollar y ejecutar ataques de ransomware. Sin embargo, el RaaS reduce las dificultades y permite que cualquier persona que carezca de habilidades de codificación compre ransomware listo para usar y ejecute ataques de ransomware. El RaaS ha aumentado la cantidad de ataques de ransomware en las organizaciones.
Continúe leyendo para obtener más información sobre el ransomware como servicio, cómo funciona, sus variantes de los paquetes y cómo mitigar los ataques de ransomware como servicio.
¿Cómo funciona el ransomware como servicio?
El modelo de negocio de RaaS funciona de manera similar al software como servicio (SaaS), en el que se puede acceder al software en línea a través de un servicio basado en suscripción.
Los operadores de RaaS utilizan los siguientes modelos de ingresos para vender su ransomware:
- Suscripción: los afiliados pagan una tarifa de suscripción mensual para acceder al ransomware y a cualquier servicio proporcionado.
- Afiliado: los afiliados pagan una tarifa de suscripción mensual para acceder al ransomware, pero también comparten un pequeño porcentaje de las ganancias después de un ataque exitoso.
- Licencia de por vida: los afiliados pagan una tarifa única para comprar el paquete de ransomware.
- Asociación: los operadores no les cobran a los afiliados por el uso de su ransomware y servicios, sino que toman un gran porcentaje de las ganancias después de un ataque exitoso.
Una vez que los operadores de ransomware determinan un modelo de ingresos, desarrollan diferentes variantes de ransomware. Luego, estos operadores venden su ransomware a los afiliados interesados en implementar ataques de ransomware y los afiliados lanzan campañas de phishing e ingeniería social para difundir el ransomware. Una vez que una organización es víctima de un ataque de ingeniería social, el ransomware se instala en el sistema de la organización y cifra los datos confidenciales para obtener un rescate. Una vez que se paga el rescate, los afiliados podrían devolver a la organización sus datos, vender los datos en la dark web o atacar a la organización nuevamente.
Los operadores de RaaS también pueden ofrecerles servicios adicionales a los afiliados más allá de solo su ransomware. Algunos ofrecen soporte de software para ayudar a los afiliados con cualquier problema técnico. Los operadores pueden ayudar a sus afiliados con sus ataques de ransomware. Otros pueden ofrecer archivos de datos cifrados de víctimas anteriores y venderles la clave de descifrado a los afiliados.
Ejemplos de paquetes de ransomware como servicio
Hay muchos tipos diferentes de paquetes de ransomware que los grupos de RaaS venden a los afiliados. Estos son algunos ejemplos de paquetes de ransomware utilizados para atacar organizaciones.
BlackCat
BlackCat es una de las cepas de ransomware más sofisticadas, ya que utiliza el lenguaje de programación Rust, que permite un ransomware de alto rendimiento y un gran almacenamiento de memoria. Es altamente personalizable y fácil de individualizar para cada cibercriminal.
Conti
Conti es una cepa de ransomware desarrollada por el notorio grupo de RaaS conocido por el mismo nombre. Es conocido por popularizar el método de ataque de doble extorsión que roba y cifra los datos confidenciales de una organización, en lugar de solo cifrarlos. El ransomware luego envía a la víctima una nota que amenaza con filtrar los datos al público a menos que pague el rescate.
Darkside
Junto con Conti, Darkside es uno de los operadores de RaaS más infames y es responsable de ofrecer múltiples variantes de ransomware. El grupo RaaS había desarrollado su propio ransomware conocido como Darkside que fue responsable del ataque a Colonial Pipeline, un ataque de ransomware que robó millones de una compañía estadounidense de oleoductos.
Dharma
Dharma, que surgió en 2016, evolucionó a partir del ransomware CrySis y se extendió a muchas variantes diferentes. Dharma busca computadoras que ejecutan el Protocolo de escritorio remoto (RDP) y aprovecha las vulnerabilidades de seguridad del RDP para instalar el ransomware en los dispositivos.
Lockbit
Lockbit, presentado en 2019, afirma ser una de las cepas de ransomware más veloces debido a su rápido cifrado y autorreplicación, lo que dificulta que las organizaciones lo detecten y lo eliminen antes de perder datos.
REvil
REvil es un tipo de ransomware que explota las VPN con un software que está desactualizado y un RDP con vulnerabilidades de seguridad. Sigue el método de ataque de Conti y utiliza la doble extorsión para amenazar a sus víctimas por más dinero.
Ryuk
Ryuk es una variante de ransomware popular que se dirige a organizaciones dentro del gobierno y de la industria académica, de fabricación, tecnológica y de salud. Se propaga a través de malware troyano, ataques de phishing y kits de explotación. Ryuk deshabilita cualquier dato de copia de seguridad que se encuentre dentro del dispositivo comprometido, lo que hace imposible recuperarlo sin copias de seguridad externas.
¿Cómo prevenir los ataques de ransomware?
A medida que más cibercriminales utilizan RaaS para ayudarlos a ejecutar ataques de ransomware, las organizaciones corren el riesgo de perder el acceso a sus datos y de que sean expuestos en la dark web. Es difícil recuperarse de ataques de ransomware, por lo que debe evitar que arruinen su organización. Puede mitigar los ataques de RaaS haciendo lo siguiente.
Mantenga los sistemas de su organización actualizados
Muchos ataques de ransomware intentan explotar las vulnerabilidades de seguridad del software y los dispositivos de su organización. Debe mantener el software de su organización actualizado para ayudar a evitar que los ataques de ransomware se aprovechen de cualquier vulnerabilidad de seguridad. Las actualizaciones de software solucionan las fallas de seguridad conocidas y agregan nuevas características de seguridad que protegen mejor a su organización. Mantener su software actualizado protege a su organización contra las variantes de ransomware recientemente desarrolladas.
Realice copias de seguridad de sus datos con regularidad
En el caso de que pierda el acceso a sus datos, ya sea por un ataque de ransomware u otras situaciones desafortunadas, puede restaurar y acceder a sus datos desde su copia de seguridad. Debe realizar copias de seguridad de sus datos con regularidad en discos duros externos o en el almacenamiento basado en la nube para tener siempre acceso a sus datos y asegurarse de no perder nada.
Implementar el acceso de privilegios mínimos
Su organización debe implementar el acceso de privilegios mínimos para evitar que los cibercriminales accedan y cifren sus datos sensibles. El principio de mínimo privilegio es un concepto de seguridad cibernética que les brinda a los usuarios acceso de red a los sistemas y los datos solo para hacer su trabajo, pero no más. Limita el acceso a la red de una organización que se da a los usuarios. Con el acceso de privilegios mínimos, los cibercriminales tienen menos vías potenciales para violar sus sistemas y no pueden moverse libremente por la red.
Siga un modelo de seguridad de confianza cero
La confianza cero es un marco de seguridad que supone que cada usuario está comprometido y debe estar verificado para obtener acceso a los sistemas y los datos. En lugar de darles a todos acceso implícito, se requiere que cada usuario verifique su identificación y acceso a la red, los sistemas, las aplicaciones y los datos de una organización. Asumir la confianza cero ayuda a reducir la superficie de ataque de su organización. La superficie de ataque se refiere a todos los posibles puntos de entrada en los que un cibercriminal puede acceder a un sistema y robar datos.
Eduque a sus empleados sobre las mejores prácticas de seguridad cibernética
Debe educar a sus empleados sobre las mejores prácticas de seguridad cibernética. Sus empleados deben usar contraseñas fuertes y únicas para proteger sus cuentas y dificultar que los cibercriminales obtengan acceso no autorizado. También deben habilitar la autenticación multifactor (MFA) para proteger mejor sus cuentas del acceso no autorizado. La MFA es una medida de seguridad que requiere un paso de autenticación adicional además del nombre de usuario y la contraseña.
Sus empleados deben poder reconocer y evitar los ataques de ingeniería social, como el phishing. Los afiliados de RaaS utilizan campañas de ingeniería social para instalar ransomware en los sistemas de una organización. Sus empleados deben evitar cualquier mensaje no solicitado con archivos adjuntos o enlaces sospechosos para evitar la instalación de ransomware en sus dispositivos.
Invierta en soluciones de seguridad cibernética
Su organización debe invertir en soluciones de seguridad cibernética para protegerla de los cibercriminales y ayudarlo a administrar la seguridad de su organización. Algunos ejemplos de estas soluciones incluyen un software antivirus, una solución de gestión del acceso privilegiado (PAM) y un gestor de contraseñas empresarial.
- Software antivirus: un programa que monitorea, detecta, previene y elimina el malware conocido para que no infecte su dispositivo. Debe tener un software antivirus sólido y actualizado para proteger su organización de los ataques de ransomware.
- Solución de PAM: una plataforma que lo ayuda a administrar y proteger las cuentas con acceso a información y datos altamente sensibles. Controla quién tiene acceso a la red, las aplicaciones, los servidores y los dispositivos de una organización. Una solución de PAM ayuda a evitar que las cuentas privilegiadas se usen indebidamente o se vean comprometidas.
- Gestor de contraseñas empresarial: una herramienta que almacena y administra de forma segura las credenciales de inicio de sesión de sus empleados en una bóveda cifrada. Un gestor de contraseñas empresarial les permite a los administradores de TI una visibilidad y un control completos sobre las prácticas de contraseñas de los empleados, lo que garantiza que los empleados protejan sus cuentas con contraseñas y MFA fuertes.
Proteja su organización de los ataques de ransomware como servicio
Los ataques de RaaS son dirigidos a organizaciones de todas las industrias para cifrar y robar su información confidencial. Debe proteger su organización de los ataques de RaaS mediante la implementación de acceso con privilegios mínimos y confianza cero. La mejor manera de implementar estos marcos de seguridad es con una solución de PAM.
KeeperPAM™ es una solución de gestión del acceso privilegiado de confianza cero y conocimiento cero que les brinda a las organizaciones visibilidad y control completos sobre sus cuentas privilegiadas en toda la organización. KeeperPAM incorpora Enterprise Password Manager de Keeper® (EPM), Keeper Secrets Manager® (KSM) y Keeper Connection Manager® (KCM) para proteger su organización de los ataques de ransomware.
Solicite un demo de KeeperPAM para evitar los ataques de RaaS y proteger los datos confidenciales de su organización.
