Etiqueta: RaaS

El RaaS Philadelphia revela las habilidades de venta de los ciberdelincuentes

Cada vez es más sencillo construir y lanzar ransomware, independientemente de las habilidades. Lo único que se necesita es mala intención y acceso a la dark web (un mercado donde se venden kits de malware como juguetes en Amazon). La tendencia se conoce como ransomware as a service (RaaS) y pocos ejemplos son tan llanos y peligrosos como Philadelphia.

En el Black Hat 2017, Sophos publicó el informe “Ransomware como Servicio (RaaS): Deconstruyendo a Philadelphia”, escrito por Dorka Palotay, investigadora de amenazas en la oficina de SophosLabs en Budapest, Hungría. El análisis profundiza en la mecánica interior de un kit de ransomware que cualquiera puede comprar por 400 dólares, que permite secuestrar y mantener los datos de una computadora para el rescate a cambio de pago.

A la intemperie

Los creadores del kit RaaS, The Rainmakers Labs, dirigen su negocio de la misma manera que una compañía de software legítima para vender sus productos y servicios. Mientras comercializan Philadelphia en mercados escondidos en la dark web, también tienen videos online que explican el funcionamiento del kit y cómo personalizar el ransomware con una gama de opciones de funciones.

Mientras que el RaaS no es nuevo, la comercialización abierta de un ataque de ransomware “hágalo usted mismo”, sí lo es.

“Es sorprendentemente sofisticado lo que The Rainmakers Labs está tratando de hacer aquí. Todos los detalles sobre Philadelphia son públicos en la World Wide Web, en lugar de estar secretos en la dark web, que es donde la mayoría de otros kits de ransomware se comercializan. No es necesario un buscador de Tor para encontrar Philadelphia y el hecho de que sea descaradamente vendido es serio y, desafortunadamente, indicativo de lo que está por venir”, dijo Palotay.

Seguir a las víctimas y (quizá) tener compasión

Además de la comercialización, el producto en sí es muy sofisticado, con numerosas variables que los compradores pueden adaptar para orientar mejor sus ataques, incluyendo la posibilidad de “seguir a las víctimas en un mapa de Google” y “tener compasión”. También se explican consejos sobre cómo construir una campaña, configurar el centro de comando y control y recaudar dinero. Todo está ahí.

Irónicamente, la función “tener compasión” no es necesariamente para ayudar a las víctimas, sino que está ahí para ayudar a los ciberdelincuentes a salir de una situación complicada. “En su mayor parte, la opción “compasión” significa dar a los cibercriminales una salida, si están en una posición precaria después de un ataque en particular”, dijo Palotay. También está allí en caso de que los amigos de un atacante accidentalmente se encuentren atrapados o si los criminales cibernéticos quieren probar su ataque.

La opción “seguir a las víctimas en un mapa de Google”, que suena espeluznante, da una idea de cómo los ciberdelincuentes determinan la demografía de los que han engañado, lo que podría ayudarles a decidir repetir un ataque o corregir un próximo ataque.

Philadelphia también tiene lo que se llama un “puente” – un script PHP para gestionar las comunicaciones entre atacantes y víctimas y guardar información sobre los ataques.

Tener opciones de personalización y puentes promete más beneficios y añade una nueva dimensión al ciberdelito que podría aumentar la velocidad de la innovación de ransomware, comentó Palotay. En otros casos de RaaS examinados por SophosLabs, las estrategias de fijación de precios abarcaban desde la división de un porcentaje del rescate procedente de las víctimas con los clientes del kit, hasta la venta de suscripciones a los paneles que siguen a los ataques.

Código robado

El informe también revela que otros ciberdelincuentes han “crackeado” o pirateado Philadelphia y venden su propia versión a un costo menor. Mientras que el crackeo no es nuevo, la escala es interesante. Los ataques que no requieren que los criminales sepan exactamente lo que hacen y que están fácilmente disponibles para su compra están en constante evolución. Sophos estima que esta tendencia aumentará la apuesta y también el fraude contra los ciberdelincuentes continuará.

“No es raro que los ciberdelincuentes roben el código de otros o se basen en versiones anteriores de otros programas de rescate, que es lo que vimos con el reciente ataque NotPetya”, dijo Palotay y explicó: “El ataque de NotPetya combinó Golden Eye, una versión anterior de Petya, con Eternal Blue para propagar e infectar computadoras a nivel mundial”.

N de P. Sophos

Aumenta la extorsión provocada por el ransomware as a Service

La compañía de seguridad Trend Micro predijo que este año (2016), sería el de la extorsión online y no iba desencaminado ante dicha predicción. Trend Micro, asegura haber bloqueado más de 100 millones de amenazas de tipo ransomware, y el número sigue en aumento.

Durante el primer trimestre de 2016, las pérdidas ocasionadas por dicho malware han ascendido a los 209 millones de dólares, frente a los 24 millones de dólares que supuso todo el 2015. Y es que cada vez es más habitual que los ciberdelincuentes recurran a la utilización de algún tipo de ransomware para conseguir sus objetivos, dado que es fácil de desplegar, y las tácticas de miedo que utiliza impidiendo el acceso a los archivos, hacen que sea más que probable que las víctimas sucumban y paguen por dicho rescate.

Según afirman los expertos, el modelo de extorsión ha evolucionado hasta tal punto que ya se habla de Ransomware-as-a-Service (RaaS), un modelo de distribución factible que permite a los delincuentes ganar dinero con su propagación y sin necesidad de ningún tipo de codificación avanzada o conocimientos de creación de malware. De hecho, en las últimas modalidades conocidas como Petya o Satana, el código malicioso consigue cifrar tanto los archivos del usuario presentes en el disco duro, como los sistemas de arranque del equipo, con lo que el daño se incrementa al no poder hacer uso de los sistemas informáticos.

El impacto hablado de costos relacionado a la pérdida de productividad y la inactividad de los empleados es muy alto, a lo que hay que sumar las posibles consecuencias penales por incumplimiento de la normativa. La firma de seguridad señala porque los CIO y CSO de las organizaciones centren toda su atención en la prevención, la mejor manera de hacer frente a las distintas modalidades de ransomware, estableciendo una protección basada en diversas capas. Dicha defensa debe contar con la seguridad en el Gateway web y de correo electrónico, en los Endpoints, en la red y en los niveles de servidores físicos, virtuales y cloud.

La compañía de seguridad cuenta con CryptoRansomware File Decryptor, una herramienta que permite que los sistemas infectados por TeslaCrypt y CryptXXX recuperen todos los datos robados, destaca Christopher Budd, director global de comunicaciones de amenazas de Trend Micro. Además, la firma dispone de otra serie de soluciones para proteger a las compañías y a las pequeñas empresas, y minimizar los daños de verse afectado por algún tipo de ransomware.

Alfonso Casas