Ransomware como servicio (RaaS)

El ransomware como servicio (RaaS, por sus siglas en inglés) es una forma de empresa criminal en la que las bandas de depredadores de ransomware (también conocidos como operadores de ransomware) contratan sus servicios -es decir, el despliegue de ransomware contra un objetivo y la posterior extorsión- a afiliados. La mayoría de las operaciones RaaS utilizan un modelo de reparto de ingresos en el que los operadores de ransomware comisionan un porcentaje del rescate a un afiliado a cambio del acceso inicial a una red objetivo. Este modelo divide la secuencia de ataque del ransomware en dos fases distintas: la obtención del acceso inicial y una segunda fase de ataque que busca comprometer datos valiosos. Al segmentar las fases de un ciberataque, tanto el operador del ransomware como el afiliado aprovechan las habilidades especializadas del otro, lo que aumenta las posibilidades generales de éxito. Existe un segundo modelo RaaS en el que los afiliados pagan una suscripción o tarifa plana para comprar cargas útiles de ransomware a los operadores de ransomware.

Los dos modelos de negocio RaaS más comunes:

1. Modelo de reparto de beneficios

El operador del ransomware cobra el rescate y comparte un porcentaje con el afiliado. Este es el modelo más común para situaciones en las que los afiliados proporcionan el acceso inicial.

2. Modelo de suscripción o tarifa plana

Los afiliados pagan una suscripción periódica (mensual) o una cuota única por una copia DIY de la carga útil del ransomware, conocida como kit de ransomware. El comprador configura el kit de ransomware y lo despliega contra el objetivo elegido.

RaaS es uno de los principales impulsores del crecimiento agresivo del ransomware, ya que permite a los posibles actores de amenazas que carecen de habilidades avanzadas de hacking asociarse con actores altamente cualificados de amenazas persistentes avanzadas (APT) y presuntos operadores de estado-nación. Este enfoque en equipo aumenta la potencia del ataque al permitir que todas las partes implicadas se centren en una pequeña parte del proceso de explotación. 

Colectivamente, las bandas de ransomware extorsionaron más de 600 millones de dólares de sus víctimas en 2021; considerando que el pago promedio de ransomware por incidente fue de más de 800,000 dólares, está claro cómo RaaS representa una oportunidad de vaca de efectivo para los afiliados, incluso a una tasa de comisión baja.

En el modelo RaaS, los principales actores de amenazas de ransomware, conocidos como operadores, se asocian con afiliados para distribuir ransomware contra un objetivo. El afiliado pagará una cantidad fija al operador para lanzar una campaña ofensiva de ciberataque contra un objetivo específico o proporcionará acceso inicial a una red ya comprometida a cambio de un porcentaje de los fondos obtenidos. De este modo, RaaS funciona de forma similar a las redes profesionales B2B legítimas. 

Los afiliados suelen desarrollar sofisticados ataques de ingeniería social que utilizan técnicas de phishing o spear-phishing para obtener el acceso inicial. También pueden obtener acceso inicial a través de vulnerabilidades no parcheadas, errores de configuración, comprometer cuentas de usuario existentes utilizando credenciales robadas o datos publicados de ciberataques anteriores para probar contraseñas reutilizadas o incluso acceso físico a las instalaciones de un objetivo.

La comunicación y la negociación tienen lugar en foros de la Dark Web alojados por los operadores de ransomware. Se sabe que al menos 25 de estos portales ofrecen explícitamente RaaS.