La mercantilización de los ciberataques y el crecimiento imparable del Ransomware-as-a-Service

Lavi Lazarovitz, director del equipo de investigación cibernética de CyberArk Labs, evalúa la creciente capacidad de la industria del cibercrimen para escalar y diversificar sus operaciones y su economía de servicios gestionados.

Cómo la transformación del delito cibernético ha nivelado el campo de juego  

Las empresas de todos los sectores están llevando a cabo importantes iniciativas de transformación tecnológica para para tratar de ser más ágiles y competitivas. Un estudio reciente de EY encontró que el 84% de las organizaciones están adaptando modelos operativos, mientras que otras muchas encuentran su camino hacia la transformación a través de servicios administrados. Las empresas delictivas cibernéticas no son una excepción y, como otras compañías, se han dirigido hacia modelos “as a service” durante algún tiempo.

El ascenso meteórico de los servicios en la nube aceleró este cambio. Los atacantes cibernéticos lograron acceso a las herramientas de desarrollo, la infraestructura y otros recursos necesarios para escalar sus enfoques. Hoy en día, la dark web está repleta de mercados darknet, como AlphaBay o foros clandestinos como xss[.]is y exploit[.]in, desde los cuales los ciberdelincuentes pueden vender o trasferir herramientas y servicios maliciosos. De hecho, las personas con poca experiencia en el desarrollo de malware pueden encontrar prácticamente cualquier cosa que necesiten directamente, pagando de forma anónima con criptomonedas.

Ransomware-as-a-Service y el legado duradero de Conti

Los modelos afiliados de ransomware-as-a-service (RaaS), en los que los ciberdelincuentes más sofisticados suelen desarrollar malware y venderlo como un servicio y, además, se benefician de las extorsiones o contratan a otros para que hagan el trabajo sucio, han demostrado ser particularmente lucrativos. De las cepas de ransomware analizadas por CyberArk Labs , dos familias de ransomware, Conti y LockBit, se ubicaron entre las 10 familias más distribuidas.

El grupo Conti era una operación RaaS particularmente sofisticada y peligrosa, ya que se infiltraba en organizaciones de todo el mundo y convertía la vulnerabilidad Log4j en un arma. Sin embargo, las tensiones geopolíticas supuestamente abrieron una brecha entre los miembros del grupo, lo que provocó una fuga masiva de datos de Twitter a principios de 2022. Los datos, analizados por CyberArk Labs., revelaron información sobre el funcionamiento interno del grupo, incluidas sus tácticas, técnicas y procedimientos comunes (TTP), así como el código fuente de malware y herramientas. Todo ello provocó una investigación por parte de la policía, tras lo cual el grupo, supuestamente, cerró sus operaciones en mayo de 2022. Sin embargo, recientes informes de inteligencia de amenazas apuntan a que los miembros de Conti han comenzado a trabajar en estrecha colaboración con su antiguo equipo asociado, TrickBot. Y utilizando el “modelo” filtrado de Conti, otros grupos criminales han podido acelerar el desarrollo de sus propias variantes de RaaS. 

Al mejorar sus negocios, los grupos RaaS organizados también han lanzado ofertas como negociación, disputas en los pagos y centros de soporte 24/7. Y los grupos de ransomware siguen innovando para mejorar sus resultados. Y mientras los beneficios superen los costes, estos ataques seguirán creciendo, especialmente porque casi cualquier persona puede participar en el juego.

El auge del “acceso como servicio” y sus implicaciones de largo alcance

Al utilizar RaaS, los operadores de ransomware pueden enfocarse en aprovechar el acceso que tienen o han comprado para ganar más dinero, en vez de enfocarse en escribir su propio malware. Y al igual que cualquiera puede comprar un kit RaaS de uno de estos grupos, cualquiera puede comprar en la dark web el acceso al RDP (Protocolo de Escritorio Remoto) por uno o diez dólares.

En los últimos años, el acceso remoto se ha convertido en un producto clave. Los ataques dirigidos a teletrabajadores y puertos RDP expuestos son casi constantes en la actualidad. Las credenciales de escritorio remoto se usan con frecuencia en campañas de ransomware, como las campañas recientes de Conti, para el acceso inicial y el movimiento lateral. El 97% de los profesionales de seguridad señala que los atacantes intentan, cada vez más, robar uno o más tipos de credenciales, que, a menudo, terminan vendiéndose en la dark web, una tendencia que ha llevado al acceso de credenciales a situarse como el primer riesgo cibernético para las empresas.

Por otro lado, el acceso bajo demanda a identidades humanas y de máquinas brinda a los atacantes numerosas oportunidades que se extienden mucho más allá del ransomware. Access-as-a-service ofrece una forma legítima de cruzar la puerta y afianzarse dentro de una empresa. Y la capacidad de obtener identidades privilegiadas sin gastar mucho esfuerzo es un enorme beneficio para los atacantes. Al resolver la pieza de identidad de la ecuación, los ciberdelincuentes pueden moverse más rápido a lo largo de la cadena de ataque, llegar más lejos a través de las cadenas de suministro y optimizar la operación, lo que hace que el malware sea más duradero y flexible para ejecutarse en cualquier entorno, por lo que es más difícil de detectar.