El ransomware como servicio es ya un modelo dominante: estas son sus implicaciones

  • Actualidad

Microsoft Security

Según un estudio de Microsoft, el ransomware como servicio (RaaS) es ya un modelo de negocio dominante utilizado por los ciberdelincuentes que, independientemente de sus conocimientos técnicos, pueden desplegar este tipo de malware. Esta 'industrialización' del cibercrimen elimina barreras de entrada.

El RaaS permite a los ciberdelincuentes comprar el acceso tanto a las payloads del ransomware como a la fuga de datos y a la infraestructura de pago. Como explica la firma, los grupos cibercriminales de ransomware son, en realidad, programas RaaS como Conti o REvil, utilizados por muchos actores diferentes. Esta “industrialización” de la ciberdelincuencia ha creado funciones especializadas, como los brokers de acceso que venden la posibilidad de acceder a las redes.

El ransomware como servicio reduce drásticamente la barrera de entrada para los atacantes, es decir, les facilita el camino. Dado que los actores de RaaS venden su experiencia a cualquiera que esté dispuesto a pagar, los ciberdelincuentes en ciernes, sin siquiera tener la destreza técnica necesaria para utilizar puertas traseras o diseñar sus propias herramientas, pueden acceder a una víctima, utilizando sencillamente aplicaciones de pruebas de intrusión y de administración de sistemas ya preparadas para realizar ataques.

La interminable lista de credenciales robadas y disponibles online implica que, sin defensas básicas como la autenticación multifactor (MFA), las organizaciones están en desventaja a la hora de combatir los vectores de entrada del ransomware antes del despliegue del malware. Una vez que los ciberdelincuentes saben que el acceso a la red de una empresa está a la venta, los actores de la amenaza RaaS pueden crear una cadena de ataques, que les permita a ellos mismos y a otros beneficiarse de dichas vulnerabilidades.

Aunque muchas organizaciones consideran que es demasiado caro implantar protocolos de seguridad optimizados, este refuerzo, en realidad, ahorra dinero. No sólo los sistemas serán más seguros, sino que gastarán menos en costes de seguridad y emplearán menos tiempo en responder a las amenazas.

De acuerdo con este informe, más del 80% de los ataques de ransomware pueden rastrearse como errores de configuración comunes en el software y los dispositivos.

Sus datos revelan que la Unidad de Crímenes Digitales de Microsoft eliminó más de 531.000 URLs y 5.400 kits de phishing entre julio de 2021 y junio de 2022, lo que llevó a la identificación y cierre de más de 1.400 cuentas de correo electrónico maliciosas utilizadas para recopilar credenciales de clientes robadas. La media del tiempo que tarda un atacante en acceder a los datos privados de una persona víctima de un correo electrónico de phishing es de una hora y 12 minutos.

En el caso de las amenazas a endpoints, si un dispositivo se ve comprometido, el tiempo medio para que un atacante comience a moverse lateralmente dentro de una red corporativa es de una hora y 42 minutos.

Estas son las principales conclusiones de la segunda edición de Cyber Signals, realizado por Microsoft a partir de los 43 billones de señales de seguridad que analiza diariamente y al trabajo de sus más de 8.500 expertos de seguridad.

Recomendaciones para prevenir los ataques de ransomware

- Construir un protocolo de higiene de credenciales. Cuando los ciberataques no vienen de frente, no sabemos cómo actuar ante los peligros que presentan. Los ciberatacantes utilizan diversas técnicas para propagarse progresivamente a través de una red a medida que buscan activos y datos clave. Por tanto, es imprescindible desarrollar una segmentación lógica de la red basada en los privilegios para limitar el movimiento lateral.

- Auditar la exposición de credenciales. Para prevenir los ataques de ransomware y la ciberdelincuencia en general, es fundamental que los equipos de seguridad de TI y los SOC trabajen juntos para reducir los privilegios administrativos y tener más control del nivel de exposición de sus credenciales.

- Reducir la superficie de ataque. Para evitar las técnicas de cibercrimen más comunes utilizadas en los ataques de ransomware, se recomienda el establecimiento de reglas de reducción de la superficie de ataque. Las organizaciones con reglas claramente definidas han podido mitigar estos ataques en sus etapas iniciales.