kⒶosTICa

Se alquila extorsión, razón RaaS

Llevamos mucho tiempo escribiendo en este espacio sobre el ransomware, esto es, el código malicioso (malware) con el que ciberdelincuentes son capaces de secuestrar sistemas informáticos enteros, encriptándolos, manteniéndolos así hasta que se paga un rescate. Durante la pandemia de COVID-19 han sido famosos los casos en los que hospitales enteros eran víctimas de estos ataques. En líneas generales, tal y como señala un informe de Beazley Group, los ataques de ransomware aumentaron un 25% sólo entre el cuarto trimestre de 2019 y el primero de 2020. Además, la cantidad exigida en los rescates –y muchas veces pagada- también se ha incrementado (más de un 100%).

Hoy traemos una evolución en el uso de este malware que viene a constatar su perversa democratización: hablamos del Ransomware-as-a-Service (RaaS). Del mismo modo que el mundo de la nube (cloud) ha generalizado entre las empresas conceptos similares referidos al software, la infraestructura o la plataforma (SaaS, IaaS o PaaS), con el ransomware ha sucedido algo parecido.

En esencia, se trata de hacer negocio a costa de quien a su vez quiere enriquecerse con el delito. ¿No tienes los conocimientos o, sencillamente, no quieres perder el tiempo en desarrollar un software ransomware? No pasa nada, hay quien lo hará por ti, de manera que lo compres o, incluso, lo alquiles para poder extorsionar a quien quieras.

Pese a la exposición irónica que comparto, los hechos son de extrema gravedad porque ponen al alcance de cualquiera, aunque no tenga ningún conocimiento de informática, la posibilidad de secuestrar sistemas informáticos de cualquier organización (y, por supuesto, de particulares). El proceso es tan sencillo como sigue:

El desarrollador de ransomware crea el malware personalizado y lo licencia para la persona que lo alquila, a cambio de una tarifa fija o de una participación sobre el rescate. La persona que alquila el software actualiza el sitio en el que éste se aloja y entrega el código a la víctima, por ejemplo, a través de un correo electrónico. Una vez que el receptor del mensaje hace clic en el enlace o accede al sitio web, el ransomware se descarga, se ejecuta y encripta el sistema. Por lo general, el impacto del software es tal que consigue cubrir su rastro, sin dejar pistas, al tiempo que modifica las configuraciones del sistema para establecer la persistencia y, además, interrumpir  o destruir las copias de seguridad de datos.

Tras recibir la notificación de rescate y si la víctima opta por pagar el rescate –con criptomonedas difíciles de rastrear-, se lava ese dinero en la red, ocultando siempre las identidades del atacante y el desarrollador y, si se cumple la promesa, se envía a la víctima el código que desencripta el sistema.

Los desarrolladores de ransomware han encontrado en el RaaS un modo amplificar sus ingresos sin hacer el trabajo sucio, como si estructuraran su actividad delictiva con un nuevo canal de distribución. Desde su punto de vista, bienvenida la economía de escala del ransomware.

Esta suerte de modelo de negocio está ganando cada vez más adeptos entre los desarrolladores de este tipo de malware, como demuestra que el número de ransomware que se expande así ha crecido exponencialmente. Definitivamente, 2020 ha sido el año del RaaS. Algunos de los ransomware más extendidos en 2020 utilizan esta fórmula: Sodinokibi, Phobos, GlobeImposter y Dharma, éste último especialmente virulento entre las pymes. Según expuso el agente especial del FBI Joel DeCapua en la última RSA Conference 2020, estos cuatro malware han conseguido recaudar en rescates cerca de 40 millones de dólares.

Ya en 2017 la compañía de seguridad Sophos alertaba de ello en su informe Ransomware as a Service (RaaS): Deconstructing Philadelphia, en el que revelaba como por 400 dólares era posible adquirir este software en la Dark Web. Hoy en día, los anuncios se pueden encontrar incluso, en YouTube:

Esta misma semana, sin ir más lejos, ha sido noticia el ransomware Netwalker después de que la Justicia estadounidense identificara a un canadiense de 33 años como uno de los mayores propagadores de ese malware, habiendo conseguido extorsionar hasta recaudar unos 27,6 millones de dólares (casi 23 millones de euros). Según Chainalysis, la firma especializada en el análisis de flujos de criptomonedas que ha participado en la investigación, sólo desde 2019 y gracias al RaaS, Netwalker acumularía cerca de 300 víctimas, recaudando a costa de ellas más de 46 millones de dólares (38 millones de euros).