Ransomware as a Service, el secuestro de datos bajo demanda

Este febrero se anunció el desmantelamiento de LockBit, en un esfuerzo conjunto del FBI de Estados Unidos, la National Crime Agency de Reino Unido y la Europol, y con la colaboración de expertos en ciberseguridad como Trend Micro. Se trata de un auténtico hito en la lucha contra el cibercrimen, teniendo en cuenta que ese grupo era desde 2020 uno de los principales actores del mercado del ransomware en todo el mundo.

Check Point Software señala que, de hecho, fue el grupo de ransomware de mayor impacto en el 2023 por el número de víctimas extorsionadas, con más de 1.000 empresas afectadas. El sector que sufrió más su impacto fue el industrial, particularmente en Estados Unidos, Reino Unido, Francia, Alemania y Canadá. LockBit es un ejemplo paradigmático que ayuda a entender cómo funcionan las plataformas de Crime as a Service.

LockBit empezó su actividad en 2019 y desde 2020 se ha mantenido como uno de los principales actores del ransomware. Como RaaS, tenía su programa de afiliados que utilizaban la plataforma para realizar sus ataques a cambio de un porcentaje de los ingresos generados. Este año, tuvo problemas de seguridad internos y otros grupos empezaron a usar su tecnología. En los principales foros de hacking rusos se les vetó por “una ética empresarial cuestionable”. Un problema reputacional que ha tenido como remate la desarticulación de sus operaciones la semana pasada, en la llamada Operación Cronos.

Funcionamiento similar al de un proveedor de software

David Sancho, investigador senior de amenazas y responsable del equipo de investigación de Trend Micro Iberia, señala que “aunque LockBit era sin duda la mayor y más impactante operación de ransomware a escala mundial, esperamos que esta perturbación deje muy claro que todos los afiliados criminales deberían reconsiderar enérgicamente cualquier participación con ellos en el futuro, y que al asociarse con esta organización estos asociados se han puesto en mayor riesgo de acción policial”.

Escalabilidad, tecnología propietaria, pago por uso, problemas de seguridad internos, riesgo reputacional… Como el último informe de Europol sobre el Crimen como Servicio, el caso de LockBit está plagado de conceptos que asociamos a los grandes proveedores de software. El propio Sancho indica que “este tipo de servicios tiene un rango muy amplio: desde el desarrollo del malware hasta el mantenimiento de servidores y herramientas para mejorar el negocio criminal”.

Guillermo Fernández, manager sales engineering Southern Europe de WatchGuard Technologies, señala que las “empresas” de malware como servicio “pueden ser confundidas con un negocio de servicios legítimo, si se ignora el hecho de que sus actividades son ilegales. Se pueden encontrar muchas similitudes al contar con departamentos de marketing, generación de clientes potenciales e incluso soporte técnico para sus clientes. Estas empresas compiten proporcionando interfaces de gestión eficientes”. El experto recuerda que hay “plataformas para cada fase de un ataque, incluyendo la identificación de objetivos, desarrollo de malware y ejecución de ataques”.

El CaaS ha contribuido, como la IA generativa, a la democratización del cibercrimen. Borja Pérez, country manager de Stormshield Iberia, considera que “el crimen como servicio es una tendencia que ha ido evolucionando, amparada en un desarrollo y automatización de las herramientas de ciberdelincuencia, a las que ahora puede acceder casi cualquier persona, si sabe dónde buscar, y sin necesidad de que posea altos conocimientos en la materia”.

Defensa ante el Crimen como Servicio

Ante esta profesionalización del cibercrimen, ¿qué pueden hacer las empresas? Pérez indica que, “como ante cualquier amenaza, tiene que haber unos procesos y una arquitectura de seguridad  […] Es vital analizar los riesgos y minimizarlos, utilizando herramientas que protejan los datos vitales para la organizacióny es imprescindible asegurar los puestos de trabajo con herramientas modernas como los EDR, e incluir seguridad perimetral, para obtener visibilidad de lo que está pasando en nuestra organización”.

Es imprescindible protegerse lo mejor posible para intentar que no nos alcance el secuestro de datos… Y prepararse también para poder reaccionar en caso de que suceda. Juan Carlos Chamizo, director del área de ciberseguridad de Integración Tecnológica Empresarial, indica que “el nivel de preparación y trabajo previo a sufrir un ataque de este tipo determinará el tiempo de recuperación de los sistemas e información y, por tanto, el impacto económico en las empresas. Así, las empresas se deben enfocar en la fase previa, en la preparación para protegerse del RaaS, lo que implica apostar por una combinación de tecnología, formación y colaboración”.