¿Ransomware como modelo de negocio?

Como ya lo hemos comentado, cuando hablamos sobre el ransomware sabemos que es una amenaza cibernética en la que actores maliciosos se infiltran en una red, cifran datos críticos, evitando así el acceso e impidiendo las operaciones de la empresa. 

Los ciberdelicuentes crean un modelo de negocio con este tipo de ataques, llamándole Ransomware-as-a-Service, operando como cualquier otro tipo de empresa que presta sus servicios.  

¿Qué es el ransomware como servicio (RaaS)? 

Ransomware-as-a-Service (RaaS) es un modelo de negocio en el que los operadores ciberdelincuentes desarrollan herramientas de ransomware y las venden a afiliados que llevan acabo ataques. Este modelo refleja las ofertas legítimas de software como servicio (SaaS), proporcionando a los afiliados interfaces fáciles de usar, soporte y, a veces, acuerdos de participación en los beneficios.  

Grupos y operaciones de ransomware como servicio (RaaS) 

• LockBit 

LockBit funciona únicamente como un modelo de Ransomware-as-a-Service (RaaS), donde los afiliados reciben una parte de los pagos de rescate. La velocidad y las capacidades de automatización del malware lo hacen excepcionalmente potente; se infiltra y cifra las redes rápidamente, dejando a las víctimas con sistemas paralizados. 

Lo que distingue a LockBit es su táctica de «doble extorsión»; ya que no solo cifra los archivos, sino que también amenaza con divulgarlos públicamente, lo que aumenta la presión para el pago. Sin embargo, no hay garantía de descifrado después del pago, un recordatorio aleccionador de la crueldad de esta amenaza cibernética en evolución. 

• BlackCat (ALPHV) 

BlackCat, también conocido como Noberus o ALPHV, es una variante altamente sofisticada de Ransomware-as-a-service (RaaS). Operando desde noviembre de 2021, BlackCat se considera un sucesor de destacados operadores de ransomware como REvil, Darkside y BlackMatter. 

El ransomware destaca por su sofisticación técnica, desarrollada en el lenguaje de programación Rust, y su adaptabilidad a una amplia gama de entornos corporativos. Las características avanzadas de BlackCat incluyen varias rutinas de cifrado, capacidades de autopropagación y la capacidad de neutralizar hipervisores. La personalización es fundamental para su operación, con afiliados responsables de las infracciones y el cifrado de dispositivos, mientras que el grupo central maneja el mantenimiento y desarrollo del código. 

• Hive 

Surgido en abril de 2022, Hive es un notorio grupo de ransomware como servicio (RaaS) que acumuló más de 1.500 víctimas globales, extorsionando millones en pagos de rescate. Conocido por emplear técnicas de pasar el hash, Hive se dirigió agresivamente a una amplia gama de sectores, con un enfoque en las organizaciones de atención médica. Sin embargo, en enero de 2023, se asestó un golpe significativo al grupo cuando el Departamento de Justicia de los Estados Unidos confiscó dos de los servidores back-end de Hive en Los Ángeles, interrumpiendo significativamente sus operaciones. A pesar de estos contratiempos, el impacto a largo plazo del grupo sigue siendo una preocupación. 

• REvil 

REvil, también conocido como Sodinokibi, es una destacada operación de ransomware como servicio (RaaS) que, según los informes, ha recaudado más de $100 millones de dólares en un año al apuntar a empresas globales.  Operando un modelo de afiliados, REvil desarrolla el malware de cifrado, mientras que los afiliados realizan ataques, robo de datos e implementación de ransomware. Los afiliados reciben la mayor parte del rescate: 70-80%, mientras que REvil retiene el 20-30%.

El grupo se beneficia no solo de las víctimas que pagan para desbloquear archivos cifrados, sino cada vez más de los pagos para evitar la exposición pública de datos confidenciales. Esta estrategia se ha convertido en su principal fuente de ingresos. Revil presiona a las víctimas con un sistema de cuenta regresiva, amenazando con filtraciones de datos públicos después de un período determinado. 

¿Deberían las organizaciones pagar el rescate? 

Al decidir si pagar un rescate después de un ataque, las organizaciones deben considerar los riesgos y factores involucrados. Según Cybereason’s Ransomware: The True Cost to Business Study 2022, puede que no valga la pena pagar el rescate. 

El estudio reveló que el 80% de las organizaciones que pagaron un rescate fueron atacadas nuevamente, generalmente dentro de un mes, a menudo con mayores demandas. Además, solo el 42% de los que pagaron un rescate después de un ataque exitoso indicaron una restauración completa de todos los servicios y datos. Dado que la mayoría (70%) enfrenta mayores demandas de rescate en ataques posteriores, el estudio sugiere que cumplir con las demandas de rescate puede no proporcionar la solución esperada y podría empeorar el problema. 

No dejes tus datos sin protección y a tu empresa vulnerable para ser partícipe de un ataque de ransomware.  Si estás interesado en saber más de cómo proteger a tu empresa, contáctanos.

Fuente: Picus.