RaaS funciona de la misma manera que lo hacen los modelos de negocio legítimos de software como servicio (SaaS). Los desarrolladores de ransomware, también llamados operadores RaaS, asumen el trabajo de desarrollar y mantener herramientas e infraestructura de ransomware. Empaquetan sus herramientas y servicios en kits RaaS que venden a otros hackers, llamados afiliados de RaaS. 

La mayoría de los operadores utilizan uno de los siguientes modelos de ingresos para vender sus kits:

• Suscripción mensual: los afiliados de RaaS pagan un pago recurrente a veces tan solo de 40 USD por mes para acceder a las herramientas de ransomware.
  
  
• Tarifa única: los afiliados pagan una tarifa única para comprar código de ransomware directamente.
  
  
• Modelos de afiliados: Los afiliados pagan una tarifa mensual y comparten un pequeño porcentaje de los pagos de rescate que reciben con los operadores.
  
  
• Reparto en las ganancias: Los operadores no cobran nada por adelantado pero toman un recorte significativo de cada rescate que recibe el afiliado, a menudo del 30 al 40 %. 

Los kits de RaaS se anuncian en foros web oscuros, y algunos operadores de ransomware reclutan activamente nuevos afiliados. El grupo REvil, por ejemplo, gastó 1 millón de dólares como parte de un gran impulso de reclutamiento en octubre de 2020 (enlace externo a ibm.com).

Una vez que han adquirido un kit, los afiliados obtienen algo más que malware y claves de descifrado: a menudo reciben un nivel de servicio y asistencia equiparable al de los vendedores legales de SaaS. Algunos de los operadores de RaS más sofisticados pueden ofrecer comodidades como soporte técnico continuo, acceso a foros privados donde los piratas informáticos pueden intercambiar consejos e información, portales de procesamiento de pagos (ya que la mayoría de los pagos de rescate se solicitan en criptomonedas no rastreables como Bitcoin) e incluso herramientas y soporte para escribir notas de rescate personalizadas o negociar demandas de rescate.

Si bien el potencial de ganancias es un factor importante en la proliferación de RaaS, los programas afiliados también proporcionan a hackers y desarrolladores de ransomware beneficios adicionales y presentan desafíos adicionales a los profesionales de la ciberseguridad. 

Atribución difusa de incidentes de ransomware. Bajo el modelo RaaS, las personas que realizan ciberataques pueden no ser las mismas personas que desarrollaron el malware en uso. Además, diferentes grupos de piratería pueden estar utilizando el mismo ransomware. Los profesionales de la ciberseguridad pueden no ser capaces de atribuir definitivamente los ataques a grupos específicos, lo que hace más difícil perfilar y atrapar a los operadores y afiliados de RaaS. 

Especialización de ciberdelincuentes. Al igual que la economía legítima, la economía del cibercrimen ha llevado a una división de trabajo. Los actores de amenazas ahora pueden especializar y refinar sus manualidades. Los desarrolladores pueden centrarse en crear malware cada vez más potente, y los afiliados pueden centrarse en desarrollar métodos de ataque más efectivos. Una tercera clase de delincuentes cibernéticos, denominada "brokers de acceso", se especializa en infiltrarse en redes y vender puntos de acceso a los atacantes. La especialización permite a los hackers moverse más rápido y llevar a cabo más ataques. Según el X-Force Threat Intelligence Index, el tiempo promedio para ejecutar un ataque de ransomware cayó de más de 60 días en 2019 a 3.85 días en 2022. 

Amenazas de ransomware más resilientes. RaAS permite a los operadores y afiliados compartir el riesgo, haciendo que cada uno sea más resiliente. La captura de afiliados no cierra a los operadores, y los afiliados pueden cambiar a otro kit de ransomware si un operador es atrapado. También se sabe que los hackers reorganizan y renombran sus actividades para evadir a las autoridades. Por ejemplo, después de que la Oficina de Control de Activos Extranjeros (OFAC) de Estados Unidos sancionara a la banda de ransomware Evil Corp, las víctimas dejaron de pagar los resaltos para evitar sanciones de la OFAC. En respuesta, Evil Corp cambió el nombre de su ransomware varias veces (enlace externo a ibm.com) para que los pagos siguieran llegando. 

Puede ser difícil precisar qué pandillas son responsables de qué ransomware o qué operadores están oficialmente activos en un momento dado. Dicho esto, los profesionales de ciberseguridad han identificado algunos de los principales operadores de RaaS a lo largo de los años, incluyendo:

• Tox: identificado por primera vez en 2015, muchos consideran que Tox es el primer RaaS.

• LockBit: LockBit es una de las variantes RaaS más generalizadas en la actualidad, que representa el 17 % de los incidentes de ransomware observados en 2022, más que cualquier otra cepa. LockBit a menudo se propaga a través de correos electrónicos de phishing. En particular, la pandilla detrás de LockBit ha intentado reclutar afiliados que trabajan para sus víctimas objetivo, lo que facilita la infiltración. 

• DarkSide: La variante de ransomware de DarkSide se utilizó en el ataque de 2021 al oleoducto colonial de los Estados Unidos, considerado el peor ataque cibernético a la infraestructura crítica de los Estados Unidos hasta la fecha. DarkSide cerró en 2021, pero sus desarrolladores lanzaron un kit RaaS sucesor llamado BlackMatter.

• REvil/Sodinokibi: REvil, también conocido como Sodin o Sodinokibi, produjo el ransomware detrás de los ataques de 2021 contra JBS USA y Kaseya Limited. A su altura, REvil fue una de las variantes de ransomware más generalizadas, teniendo en cuenta el 37 % de los ataques de ransomware en 2021. El Servicio de seguridad federal ruso cerró REvil y cobró a varios miembros clave a principios de 2022, pero la infraestructura RaaS de la banda volvió a aparecer en abril de 2022 (enlace externo a ibm.com)

• Ryuk: Antes de cerrar en 2021, Ryuk fue una de las operaciones RaaS más grandes. Los desarrolladores detrás de Ryuk lanzaron Conti, otra variante RaaS importante, que se utilizó en un ataque contra el gobierno costarricense en 2022 (enlace externo a ibm.com).

• Hive: Hive saltó a la fama en 2022 después de un ataque a Microsoft Exchange Server. Las filiales de Hive fueron una amenaza significativa para las empresas financieras y las organizaciones de atención médica hasta que el FBI tomó el operador en 2023 (enlace externo a ibm.com). 

Aunque RaaS ha cambiado el panorama de las amenazas, muchas de las prácticas estándar para la protección contra el ransomware pueden seguir siendo eficaces para combatir los ataques RaaS. Muchos afiliados a RaaS son menos hábiles técnicamente que los atacantes de ransomware de ayer. Colocar suficientes obstáculos entre los hackers y los activos de la red puede disuadir por completo a algunos ataques de RaS. Otras tácticas de ciberseguridad pueden incluir: 

• Mantener copias de seguridad de datos confidenciales e imágenes del sistema, idealmente en discos duros u otros dispositivos que puedan desconectarse de la red.
  
  
• Reducir la superficie de ataque de la red mediante la aplicación regular de parches para cerrar las vulnerabilidades comúnmente explotadas. Herramientas de seguridad como software antivirus, orquestación de seguridad, automatización y respuesta (SOAR), detección y respuesta de endpoints (EDR), información de seguridad y administración de eventos (SIEM) y detección y respuesta extendidas (XDR) también pueden ayudar a los equipos de seguridad a interceptar ransomware más rápidamente.
  
  
• La capacitación en ciberseguridad puede ayudar a los empleados a reconocer y evitar vectores de ransomware comunes, como phishing, ingeniería social y enlaces maliciosos.
  
  
• Implementar controles de acceso, como autenticación multifactor, arquitectura de confianza cero y segmentación de red, puede evitar que el ransomware llegue a datos particularmente confidenciales.
  
  
• Los planes integrales de respuesta ante incidentes  pueden ayudar a los equipos de seguridad a abordar la mayoría de las amenazas cibernéticas, pero pueden ser particularmente útiles para los ataques RaaS. Debido a que la atribución de ataques puede ser confusa, los equipos de respuesta a incidentes no pueden contar con ataques de ransomware que siempre utilicen las mismas tácticas, técnicas y procedimientos (TTP). Además, cuando los respondedores a incidentes echan a los afiliados de RaS, los corredores de acceso aún pueden estar activos en sus redes. La búsqueda proactiva de amenazas y las investigaciones exhaustivas de incidentes pueden ayudar a los equipos de seguridad a erradicar estas amenazas evasivas.