BusinessSeguridad

Ransomware como Servicio

By Julio 9, 2018 No Comments

El presente año en curso ha sido interesante, por decir lo menos, en lo que ha seguridad se refiere. Entre las múltiples situaciones ocurridas, me gustaría destacar el evento de WannaCry, no como una herramienta de marketing o ventas, si no por el significado de este evento y, por supuesto, el impacto y repercusión a nivel mundial que provocó. 

Un poco de contexto: WannaCry ha sido la primera amenaza del tipo cryptolocker en hacer uso de técnicas del tipo worm empleando la auto-progragación mediante el movimiento lateral dentro de una red haciendo uso y explotación de una vulnerabilidad conocida en el protocolo SMB de la familia Microsoft Windows, empleando el kit EternalBlue de la NSA. Hasta antes de WannaCry, una infección de Ransomware proveniente desde el correo electrónico, los sitios web comprometidos o aplicaciones falsas descargadas desde fuentes no confiables, representaban una infección puntual para un usuario o estación de trabajo corporativa y/o institucional. Sin embargo, que una amenaza de este tipo, se comporte como worm y pueda explotar vulnerabilidades con el objetivo de infectar y replicarse, sin duda abre la puerta a un escenario complejo.

Las amenazas ransomware existen para las familias de sistemas operativos Microsoft Windows, macOS, GNU/Linux, iOS y Android. Esto, simplemente porque el Ransomware es un millonario negocio, el cual aporta interesantes ganancias a sus creadores y que aún puede dar mucho más. Es cosa de mirar como el RaaS ha evolucionado como plataforma de servicio. Como he señalado, es un hecho, que el ransomware es un gran negocio y los delincuentes lo saben. Tanto es así que han profesionalizado sus kits llevándolos hacia el siguiente nivel de producción: El software como servicio, particularmente el Ransomware como Servicio.

Un especial caso es el ransomware Satan el cual, mediante su plataforma RaaS, el creador ofrece el uso gratuito a cambio del 30% de las ganancias obtenidas por la recaudación del pago que realizan las víctimas de una posible infección con este malware.

Sobre esto último, para el año 2018 se prevé un aumento y profesionalización, aún más, del RaaS empleando el worm como parte inherente del malware, esto según un estudio realizado por SophosLabs. Un claro referente este contexto el ransomware Cerber el que superó en porcentaje de infección a Locky durante 2017 teniendo como clave de este éxito la plataforma por la cual se distribuye el malware: el Ransomware as a Service o RaaS. Y si bien Cerber es una amenaza con ya un tiempo “en el mercado”, sigue manteniendo un lugar importante en la taza de presencia mundial con 44% de las infecciones totales de ransomware y una evolución constante de nuevas variantes y mutaciones convirtiéndose, de esta manera, en una seria amenaza a tener en consideración. El informe de SophosLab referencia como relevante el ransomware Philadelphia principalmente por su acabada estrategia de marketing para su plataforma RaaS.

El Ransomware como servicio es, según Forbes ( https://goo.gl/cT77U4 ), la siguiente gran amenaza cibernética, moción que el informe de SophosLab viene a confirmar señalando un aumento en la profesionalización de este tipo de servicios acompañada de una depurada capa de abstracción técnica que permite que la plataforma pueda ser operada por cualquier usuario sin, necesariamente, poseer avanzados conocimientos técnicos. Sumado a esto, la depuración de las técnicas para evasión de herramientas antimalware y el uso de y mejora de robustos algoritmos de cifrado hacen del Ransomware un ciber riesgo que debe ser adecuadamente gestionado.

El análisis de SophosLab puede ser encontrado en el siguiente link: https://goo.gl/mg2X5H 

César Millavil A

C|EH – ISO27001LA