RaaS funciona de la misma manera que lo hacen los modelos de negocio legítimos de software como servicio (SaaS). Los desarrolladores de ransomware, también llamados operadores RaaS, asumen el trabajo de desarrollar y mantener las herramientas y la infraestructura del ransomware.Empaquetan sus herramientas y servicios en kits RaaS que venden a otros hackers, llamados afiliados RaaS. 

La mayoría de los operadores utilizan uno de los siguientes modelos de ingresos para vender sus kits:

• Suscripción mensual: Los afiliados RaaS pagan una cuota periódica, a veces tan solo 40 USD al mes, para acceder a las herramientas de ransomware.
  
  
• Cuota única: Los afiliados pagan una cuota única para comprar el código del ransomware directamente.
  
  
• Modelos de afiliados: Los afiliados pagan una cuota mensual y comparten con los operadores un pequeño porcentaje de cualquier pago de rescate que reciban.
  
  
• Reparto de beneficios: Los operadores no cobran nada por adelantado, pero se llevan una parte importante de cada rescate que recibe el afiliado, a menudo entre el 30% y el 40%. 

Los kits RaaS se anuncian en foros de la web oscura‌, y algunos operadores de ransomware reclutan activamente a nuevos afiliados.El grupo REvil, por ejemplo, gastó 1 millón de dólares como parte de una importante campaña de contratación en octubre de 2020 (enlace externo a ibm.com).

Una vez que han adquirido un kit, los afiliados obtienen algo más que malware y claves de descifrado: a menudo reciben un nivel de servicio y asistencia equiparable al de los vendedores legales de SaaS.Algunos de los operadores de RaaS más sofisticados pueden ofrecer servicios como asistencia técnica continua, acceso a foros privados donde los hackers pueden intercambiar consejos e información, portales de procesamiento de pagos (ya que la mayoría de los pagos de rescates se solicitan en criptomonedas imposibles de rastrear, como Bitcoin) e incluso herramientas y asistencia para redactar notas de rescate personalizadas o negociar las peticiones de rescate.

Si bien el potencial de beneficios es un factor importante en la proliferación de RaaS, los programas de afiliación también proporcionan a los hackers y desarrolladores de ransomware beneficios adicionales - y presentan desafíos adicionales para los profesionales de la ciberseguridad. 

Atribución imprecisa de incidentes de ransomware. En el modelo RaaS, las personas que llevan a cabo los ciberataques pueden no ser las mismas que desarrollaron el malware utilizado.Además, diferentes grupos de hackers pueden estar utilizando el mismo ransomware.Los profesionales de la ciberseguridad pueden no ser capaces de atribuir definitivamente los ataques a grupos específicos, lo que hace más difícil perfilar y atrapar a los operadores y afiliados RaaS. 

Especialización de cibercriminales. Al igual que la economía legal, la economía de la ciberdelincuencia ha dado lugar a una división del trabajo.Los actores de las amenazas pueden ahora especializarse y perfeccionar su oficio.Los desarrolladores pueden centrarse en crear malware cada vez más potente, y los afiliados en desarrollar métodos de ataque más eficaces.Una tercera clase de ciberdelincuentes, llamados "intermediarios de acceso", se especializa en infiltrarse en las redes y vender puntos de acceso a los atacantes.La especialización permite a los hackers moverse más rápido y llevar a cabo más ataques. Según el índice X-Force Threat Intelligence, el tiempo medio para ejecutar un ataque de ransomware se redujo de 60+ días en 2019 a 3,85 días en 2022. 

Amenazas de ransomware más resistentes. RaaS permite a los operadores y afiliados compartir el riesgo, lo que hace que cada uno sea más resistente.Atrapar a los afiliados no supone detener a los operadores, y los afiliados pueden cambiar a otro kit de ransomware si se atrapa a un operador.También se sabe que los hackers reorganizan y renuevan sus actividades para evadir a las autoridades. Por ejemplo, después de que la Oficina de Control de Activos Extranjeros de Estados Unidos (OFAC) sancionara a la banda de ransomware Evil Corp, las víctimas dejaron de pagar rescates para evitar las sanciones de la OFAC.Como respuesta, Evil Corp cambió el nombre de su ransomware varias veces (enlace externo a ibm.com) para mantener los pagos entrantes. 

Puede ser difícil precisar qué bandas son responsables de qué ransomware o qué operadores están oficialmente activos en un momento dado.Dicho esto, los profesionales de la ciberseguridad han identificado algunos operadores importantes de RaaS a lo largo de los años, entre ellos:

• Tox: Identificado por primera vez en 2015, muchos consideran que Tox es el primer RaaS.

• LockBit: LockBit es una de las variantes RaaS más omnipresentes en la actualidad, responsable del 17 % de los incidentes de ransomware observados en 2022, más que cualquier otra cepa. LockBit suele propagarse a través de correos electrónicos de phishing. En particular, la banda detrás de LockBit ha tratado de reclutar a afiliados que trabajan para sus víctimas objetivo, lo que facilita la infiltración. 

• DarkSide: La variante de ransomware de DarkSide se utilizó en el ataque de 2021 al oleoducto estadounidense Colonial Pipeline, considerado el peor ciberataque contra infraestructuras críticas de Estados Unidos hasta la fecha. DarkSide se cerró en 2021, pero sus desarrolladores lanzaron un kit RaaS sucesor llamado BlackMatter.

• REvil/Sodinokibi: REvil, también conocido como Sodin o Sodinokibi, produjo el ransomware detrás de los ataques de 2021 contra JBS USA y Kaseya Limited. En su apogeo, REvil fue una de las variantes de ransomware más extendidas, representando el 37 % de los ataques de ransomware en 2021. El Servicio Federal de Seguridad de Rusia cerró REvil e imputó a varios miembros clave a principios de 2022, pero la infraestructura RaaS de la banda volvió a aparecer en abril de 2022 (enlace externo a ibm.com)

• Ryuk: Antes de cerrar en 2021, Ryuk era una de las operaciones RaaS más grandes. Los desarrolladores de Ryuk lanzaron Conti, otra variante importante de RaaS, que se utilizó en un ataque contra el gobierno costarricense en 2022 (enlace exerno a ibm.com).

• Hive: Hive saltó a la fama en 2022 después de un ataque a Microsoft Exchange Server. Los afiliados de Hive fueron una amenaza importante para las empresas financieras y las organizaciones sanitarias hasta que el FBI acabó con el operador en 2023 (enlace externo a ibm.com). 

Aunque RaaS ha cambiado el panorama de las amenazas, muchas de las prácticas estándar para la protección contra el ransomware pueden seguir siendo eficaces para combatir los ataques RaaS.Muchos afiliados a RaaS son menos competentes técnicamente que los atacantes de ransomware de ayer.Colocar suficientes obstáculos entre los hackers y los activos de red puede disuadir por completo algunos ataques RaaS.Otras tácticas de ciberseguridad pueden incluir: 

• Mantener copias de seguridad de datos confidenciales e imágenes del sistema, idealmente en discos duros u otros dispositivos que se pueden desconectar de la red.
  
  
• Reducir la superficie de ataque de la red aplicando parches regularmente para cerrar vulnerabilidades comúnmente explotadas. Las herramientas de seguridad como software antivirus, orquestación, automatización y respuesta de seguridad (SOAR), detección y respuesta de puntos finales (EDR), gestión de incidentes y eventos de seguridad (SIEM) y detección y respuesta extendidas (XDR) también pueden ayudar a los equipos de seguridad a interceptar el ransomware más rápido.
  
  
• La formación en ciberseguridad puede ayudar a los empleados a reconocer y evitar los vectores habituales de ransomware como phishing, ingeniería social y enlaces maliciosos.
  
  
• La implantación de controles de acceso como la autenticación multifactor, la arquitectura zero trust y la segmentación de red puede impedir que el ransomware alcance datos especialmente sensibles.
  
  
• Los planes integrales de respuesta a incidentes  pueden ayudar a los equipos de seguridad a hacer frente a la mayoría de las ciberamenazas, pero pueden ser especialmente útiles para los ataques RaaS. Dado que la atribución de los ataques puede ser confusa, los equipos de respuesta a incidentes no pueden contar con que los ataques de ransomware utilicen siempre las mismas tácticas, técnicas y procedimientos (TTP).Además, cuando los equipos de respuesta a incidentes expulsan a los afiliados de RaaS, los intermediarios de acceso pueden seguir activos en sus redes.La búsqueda proactiva de amenazas y la investigación exhaustiva de incidentes pueden ayudar a los equipos de seguridad a erradicar estas amenazas evasivas.