Latinoamérica. Oswaldo Palacios de Guardicore comentó que el RaaS, la venta de ransomware a personas sin grandes conocimientos técnicos, es un servicio que ofertan los grupos de ciberdelincuencia como Conti y está en auge en Colombia, México y Brasil.
Este servicio, mejor conocido como RaaS y que le brinda al comprador la posibilidad de atacar un objetico específico, ha aumentado su oferta en la región de Latinoamérica debido a la aparición de nuevos grupos que ofrecen estos servicios a través de la Dark Web y Deep Web.
Según el informe de amenazas de ransomware de Akamai H1 2022, dichos grupos de ransomware como servicio han tomado estructuras de funcionamiento similares a empresas que buscan extorsionar, por lo que tienen prácticas como servicio al cliente y capacitación de nuevos empleados
Oswaldo Palacios, senior account executive en Guardicore, estimó que un mayor número de los ataques de ransomware llevados a cabo en 2021 fueron por medio de RaaS debido a su accesibilidad.
De acuerdo con el experto, en el modelo RaaS “un hacker o grupo de hackers desarrollan un ransomware y lo ponen a la venta en la Dark Web y Deep Web, de manera que cualquier persona, sin necesidad de tener grandes conocimientos técnicos, puede comprarlo y utilizarlo para llevar a cabo ataques sofisticados contra empresas o instituciones públicas de una manera relativamente sencilla”
Oswaldo explicó que anteriormente una operación de ataque a gran escala requería que los ciberdelincuentes fueran hackers cualificados, sin embargo, ahora gracias a los modelos x-as-a-service esto ya no es necesario. De acuerdo con sus consideraciones el modelo RaaS beneficia a los desarrolladores de malware porque les permite centrarse en mejorar su ransomware mientras sus afiliados se centran en la distribución, ejercicio altamente lucrativo.
Ahora bien, ya que los grupos dedicados al ransomware como servicio operan de forma similar a empresas de desarrollo de software, pues venden o alquilan kits de malware compactos, fáciles de desplegar, incluso ofrecen servicios de soporte a los ciberdelincuentes emergentes, reduciendo así la barrera de entrada, además de acelerar la introducción y propagación de ataques.
Más aún, el estudio de Akamai revela que Conti es uno de los grupos más letales que genera variantes de RaaS proveniente de Rusia. Pero la competencia entre los proveedores de RaaS también ha aumentado y se ha detectado la aparición de nuevos grupos.
“Aunque no hay forma de saber la localización exacta de estos ciberdelincuentes, existen herramientas y metodologías para enmascarar la ubicación y poder atacar cualquier objetivo desde un país diferente a la localización de los delincuentes. Se presume la ubicación debido a las compañías atacadas, lenguaje y mensajes de rescate. En algunas ocasiones la Policía Cibernética ha logrado rastrear las conexiones o centros de ataque, siendo Colombia, México y Brasil los países con mayor actividad cibercriminal en Latinoamérica”, informó Palacios.
Del mismo modo, el informe Akamai destaca que no es sorprendente que los ataques de Conti se centren en regiones específicas. Además, dicha organización de ciberdelincuencia ha revelado que cuentan con varios departamentos encargados de la administración, finanzas y recursos humanos, junto con una jerarquía organizativa clásica con líderes de equipo que dependen de la alta dirección.
Funcionamiento del RaaS
Este servicio opera mayormente a través de cuatro formas: (1) pagando una suscripción mensual a cambio de usar el ransomware; (2) a través de programas de afiliación, donde aparte de la cuota mensual se paga también una comisión de los beneficios del rescate; (3) mediante una licencia de un solo uso sin comisión; (4) o a través de comisiones, es decir, no hay cuota mensual o de entrada, pero los desarrolladores del ransomware se llevan una comisión por cada ataque exitoso y rescate recibido.
A pesar de esto las organizaciones sí pueden implementar estrategias para mitigar el impacto de posibles ataques de ransomware. Si bien no siempre es posible evitar que ocurra un ataque de ransomware, las entidades pueden mejorar su capacidad para responder a estos incidentes y minimizar el daño causado.
Centro de datos microsegmentados la prevención efectiva
Disponer de un centro de datos microsegmentado es un relevante para proteger los activos digitales y una de las formas más eficientes de mantener una operación segura y sin contratiempos.
Oswaldo Palacios, explicó que un centro de datos microsegmentado funciona autorizando las comunicaciones y accesos de forma granular, esto quiere decir “a nivel de proceso”, por lo que no habría forma en la que un atacante pueda acceder a datos importantes. Incluso confirmó que “si el ataque viene desde dentro de la organización, no puede propagarse y es fácilmente localizado, con lo cual estamos ante una herramienta disruptiva desde el punto de vista de la ciberseguridad”.
