Un nuevo estudio del equipo de Kaspersky Digital Footprint Intelligence revela que el ransomware es el malware como servicio (MaaS) más extendido de los últimos siete años. El informe analiza 97 familias de malware distribuidas a través de la darkweb. Los ciberdelincuentes contratan ladrones de información, botnets, downloaders y backdoors para realizar sus ataques.
El Malware-as-a-Service (MaaS) o malware como servicio es un negocio ilegal que implica el alquiler de software para ejecutar ataques cibernéticos. Los clientes de estos servicios reciben una cuenta personal a través de la cual pueden controlar los ataques y recibir soporte técnico. Esto permite a personas sin demasiados conocimientos informáticos realizar ciberataques.
Los profesionales de Kaspersky examinaron la venta de familias de malware, así como chats, publicaciones y anuncios de búsqueda en la dakweb y otros sitios para identificar las familias más populares. El ransomware, malware que secuestra datos y pide un rescate por recuperarlos, supone el 58% de todo el MaaS distribuido entre 2015 y 2022. El hecho de que genere grandes ganancias en menos tiempo que otros tipos de malware es la principal razón de su éxito.
La suscripción a Ransomware as a Service (RaaS) puede llegar a ser de inicio gratis, abonando la cantidad acordada al vendedor tras el ataque. El pago suele ser entre el 10% y el 40% de las ganancias. Acceder a este tipo de servicios no es fácil porque los requisitos impuestos por los vendedores son muy rigurosos.
Los infostealers o ladrones de información representaron el 24% de las familias de malware distribuidas como servicio durante el periodo analizado. Están diseñados para robar datos como credenciales, contraseñas, tarjetas, cuentas bancarias, el historial del navegador o datos de billeteras criptográficas.
Los servicios de robo de información se pagan a través de un modelo de suscripción. Tienen un precio de entre 92 y 280 euros mensuales. Por poner un ejemplo, Raccoon Stealer, que ya no opera desde principios de febrero de 2023, podía adquirirse por 255 o 139 dólares a la semana. Su rival directo, RedLine, tiene un precio mensual de 139 euros. También existe la posibilidad de adquirir una licencia de por vida por unos 830 euros, según han comprobado los expertos de Kaspersky al analizar la darknet. Los atacantes también pueden acceder a servicios adicionales a cambio de un pago extra.
El 18% del malware vendido como servicio son botnets, downloaders y backdoors. Estas amenazas suelen tener un objetivo común: descargar y ejecutar otro malware en el dispositivo de la víctima. “El precio del cargador Matanbuchus varía con el tiempo. El precio actual arranca en los 4.500 euros al mes. Este tipo de malware es más costoso que los ladrones de información porque el código malicioso es más complejo y el vendedor brinda toda la infraestructura, lo que supone que el cliente no tiene que pagar más por los servicios de hosting cuando utilizan Matanbuchus. La cantidad de suscriptores de Matanbuchus es limitada, lo que hace más complicado detectar a los atacantes”, asegura Alexander Zabrovsky, analista de Kaspersky Digital Footprint.
Estructura de la venta de MaaS
Los ciberdelincuentes que operan plataformas MaaS se conocen comúnmente como operadores, mientras que los que compran estos servicios se conocen como afiliados. Tras cerrarse el trato, los afiliados reciben acceso a los componentes MaaS, como paneles de comando y control (C2), desarrolladores (programas para la creación rápida de muestras únicas de malware), malware y actualizaciones de interfaz, soporte, instrucciones, y alojamiento. Los paneles son un componente esencial que permite a los atacantes controlar y coordinar las actividades de las máquinas infectadas. Por ejemplo, pueden filtrar datos, negociar con la víctima, recibir soporte, crear muestras de malware únicas y realizar un sinfín de actividades más.
Algunos tipos de MaaS, como los ladrones de información, permiten a los afiliados crear sus propios grupos y equipos para ejecutar ciberataques. Se denominan Traffers. Son ciberdelincuentes que distribuyen malware para aumentar las ganancias. Los traffers no tienen acceso al panel C2 ni a otras herramientas. Su única tarea es aumentar la propagación del malware y cobrar por ello. En muchas ocasiones, enmascaran programas maliciosos dentro de vídeos en YouTube en los que explican cómo hackear aplicaciones legítimas.
“Los ciberdelincuentes intercambian de forma activa bienes y servicios ilícitos, incluidos malware y datos robados, en la darknet. Entender cómo está estructurado este mercado permite conocer los métodos y motivaciones de los atacantes. De esta forma, podemos ayudar mejor a las empresas a desarrollar estrategias efectivas para prevenir los ataques cibernéticos. Kaspersky identifica y rastrea las actividades de los ciberdelincuentes, sigue el flujo de información y está actualizada sobre las nuevas amenazas y tendencias”, concluye Zabrovsky.
Para estar protegido frente a estas amenazas, los expertos de Kaspersky recomiendan:
- Mantener siempre actualizado el software para prevenir ataques de infiltración en la red. Las actualizaciones incluyen parches de seguridad que otorgan protección frente a las últimas vulnerabilidades descubiertas.
- Disponer de la última información de inteligencia de amenazas para estar al tanto de las Tácticas Técnicas y Procedimientos (TTP) utilizadas por los ciberdelincuentes.
- Es importante conocer la visión que los ciberatacantes tienen de la organización, porque ayuda a detectar puntos débiles y ajustar mejor las defensas. Kaspersky Digital Footprint Intelligence es un interesante aliado en este sentido.
- En caso de incidente, Kaspersky Incident Reponse minimizará las consecuencias, identificando los nodos comprometidos y protegiendo la infraestructura de ataques similares en el futuro.
Para saber más acerca de MaaS, consultar Securelist.
