El 58% de las ventas de malware como servicio son ransomware
- Actualidad
Un nuevo estudio del equipo de Kaspersky Digital Footprint Intelligence revela que el ransomware es el malware como servicio (MaaS) más extendido de los últimos siete años. El informe analiza 97 familias de malware distribuidas a través de la dark web. Los ciberdelincuentes contratan ladrones de información, botnets, downloaders y backdoors para realizar sus ataques.
El Malware-as-a-Service (MaaS) o malware como servicio es un negocio ilegal que implica el alquiler de software para ejecutar ataques cibernéticos. Los clientes de estos servicios reciben una cuenta personal a través de la cual pueden controlar los ataques y recibir soporte técnico. Esto permite a personas sin demasiados conocimientos informáticos realizar ciberataques.
Los expertos de Kaspersky examinaron la venta de familias de malware, así como chats, publicaciones y anuncios de búsqueda en la dakweb y otros sitios para identificar las familias más populares. El ransomware, malware que secuestra datos y pide un rescate por recuperarlos, supone el 58% de todo el MaaS distribuido entre 2015 y 2022. El hecho de que genere grandes ganancias en menos tiempo que otros tipos de malware es la principal razón de su éxito.
Según explica la firma, la suscripción a Ransomware as a Service (RaaS) puede llegar a ser de inicio gratis, abonando la cantidad acordada al vendedor tras el ataque. El pago suele ser entre el 10% y el 40% de las ganancias. Acceder a este tipo de servicios no es fácil porque los requisitos impuestos por los vendedores son muy rigurosos.
Los infostealers o ladrones de información representaron el 24% de las familias de malware distribuidas como servicio durante el periodo analizado. Están diseñados para robar datos como credenciales, contraseñas, tarjetas, cuentas bancarias, el historial del navegador o datos de billeteras criptográficas.
Los servicios de robo de información se pagan a través de un modelo de suscripción. Tienen un precio de entre 92 y 280 euros mensuales. Por poner un ejemplo, Raccoon Stealer, que ya no opera desde principios de febrero de 2023, podía adquirirse por 255 o 139 dólares a la semana. Su rival directo, RedLine, tiene un precio mensual de 139 euros. También existe la posibilidad de adquirir una licencia de por vida por unos 830 euros, según han comprobado los expertos de Kaspersky al analizar la darknet. Los atacantes también pueden acceder a servicios adicionales a cambio de un pago extra.
El 18% del malware vendido como servicio son botnets, downloaders y backdoors. Estas amenazas suelen tener un objetivo común: descargar y ejecutar otro malware en el dispositivo de la víctima.
Estructura de la venta de MaaS
Los ciberdelincuentes que operan plataformas MaaS se conocen comúnmente como operadores, mientras que los que compran estos servicios se conocen como afiliados. Tras cerrarse el trato, los afiliados reciben acceso a los componentes MaaS, como paneles de comando y control (C2), desarrolladores (programas para la creación rápida de muestras únicas de malware), malware y actualizaciones de interfaz, soporte, instrucciones, y alojamiento. Los paneles son un componente esencial que permite a los atacantes controlar y coordinar las actividades de las máquinas infectadas. Por ejemplo, pueden filtrar datos, negociar con la víctima, recibir soporte, crear muestras de malware únicas y realizar un sinfín de actividades más.
Algunos tipos de MaaS, como los ladrones de información, permiten a los afiliados crear sus propios grupos y equipos para ejecutar ciberataques. Se denominan Traffers. Son ciberdelincuentes que distribuyen malware para aumentar las ganancias. Los traffers no tienen acceso al panel C2 ni a otras herramientas. Su única tarea es aumentar la propagación del malware y cobrar por ello. En muchas ocasiones, enmascaran programas maliciosos dentro de vídeos en YouTube en los que explican cómo hackear aplicaciones legítimas.
