El 58% de las familias de malware que se venden como servicio, son ransomware

Según Kaspersky, la popularidad del ransomware se atribuye a su capacidad de generar mayores ganancias en menos tiempo que otros tipos de malware.

El equipo de Kaspersky Digital Footprint Intelligence presentó un nuevo estudio que revela que el ransomware es el Malware como servicio más extendido en los últimos siete años. El estudio se basa en una investigación realizada en 97 familias de malware distribuidas en la Darknet y otros recursos. Además, los investigadores descubrieron que para llevar a cabo sus ataques los ciberdelincuentes suelen contratar ladrones de información, botnets, cargadores y puertas traseras.

El Malware-as-a-Service (MaaS) es un modelo de negocio ilícito que implica el arrendamiento de software para llevar a cabo ataques cibernéticos. Por lo general, a los clientes de dichos servicios se les ofrece una cuenta personal por medio de la cual pueden controlar el ataque, así como ayuda técnica, lo que reduce el umbral inicial de experiencia que necesitan los posibles ciberdelincuentes.

El ransomware será el malware como servicio más popular

Los expertos de Kaspersky examinaron los volúmenes de venta de varias familias de malware, así como menciones, debates, publicaciones y anuncios de búsqueda en la Darknet y otros recursos relacionados con MaaS para identificar los tipos más populares. El líder resultó ser el ransomware, o software malicioso que cifra los datos y exige el pago por descifrarlos. Representó el 58% de todas las familias distribuidas bajo el modelo MaaS entre 2015 y 2022. La popularidad del ransomware se puede atribuir a su capacidad para generar mayores ganancias en un espacio de tiempo más corto que otros tipos de malware.

Los ciberdelincuentes pueden “suscribirse” a Ransomware-as-a-service (RaaS) de forma gratuita. Una vez que se convierten en socios del programa, pagan por el servicio después de que ocurre el ataque. El monto del pago está determinado por un porcentaje del rescate pagado por la víctima, que generalmente oscila entre el 10% y el 40% de cada transacción. Sin embargo, ingresar al programa no es una tarea sencilla, ya que implica cumplir con requisitos rigurosos.

Distribución de familias de malware, 2015-2022, con ejemplos de las familias más populares de cada tipo^[1]. Fuente: Kaspersky Digital Footprint Intelligence

Durante el período analizado, los ladrones de información (Infostealers) representaron el 24% de las familias de malware distribuidas como servicio. Se trata de programas maliciosos diseñados para robar datos como credenciales, contraseñas, tarjetas y cuentas bancarias, historial del navegador, datos de billeteras criptográficas y más.

Los servicios de Infostealers se pagan a través de un modelo de suscripción. Tienen un precio de entre US$100 y US$300 por mes. Por ejemplo, Raccoon Stealer, que se suspendió a principios de febrero de 2023, podría adquirirse por US$275 al mes o US$150 a la semana. Su competidor, RedLine, tiene un precio mensual de US$150, y también existe la opción de comprar una licencia de por vida por US$900, según la información publicada en Darknet por sus operadores. Los atacantes también hacen uso de servicios adicionales a cambio de un pago extra.

El 18% de las familias de malware que se venden como servicio resultaron ser botnets, cargadores y puertas traseras. Estas amenazas se combinan en un solo grupo, ya que a menudo tienen un objetivo común: cargar y ejecutar otro malware en el dispositivo de la víctima. “Por ejemplo, el precio del cargador Matanbuchus tiende a variar con el tiempo. El precio en junio del año en curso comienza desde US$4,900 por mes. Este tipo de malware es más costoso que los ladrones de información; por ejemplo, el código malicioso en sí es más complejo y el operador proporciona toda la infraestructura, lo que significa que los socios no tienen que pagar más por los servicios de alojamiento a prueba de balas cuando usan Matanbuchus. Vale la pena señalar que la cantidad de suscriptores de Matanbuchus es muy limitada, lo que permite que los atacantes pasen más tiempo sin ser detectados”, dijo Alexander Zabrovsky, analista de Digital Footprint en Kaspersky.

Componentes de MaaS y jerarquía de malhechores

Los ciberdelincuentes que operan plataformas MaaS se conocen comúnmente como operadores, mientras que los que compran estos servicios se conocen como afiliados. Después de cerrar un trato con los operadores, los afiliados reciben acceso a todos los componentes necesarios de MaaS, como paneles de mando y control (C2), constructores (programas para la creación rápida de muestras únicas de malware), actualizaciones de malware e interfaz, asistencia, instrucciones, y hospedaje Los paneles son un componente esencial que permite a los atacantes controlar y coordinar las actividades de las máquinas infectadas. Por ejemplo, los ciberdelincuentes pueden filtrar datos, negociar con una víctima, ponerse en contacto con la asistencia, crear muestras de malware únicas y mucho más.

Algunos tipos de MaaS, como los ladrones de información, permiten a los afiliados crear su propio equipo; los miembros de dicho equipo se denominan traficantes: ciberdelincuentes que distribuyen malware para aumentar las ganancias y generar intereses, bonificaciones y otros pagos de los afiliados. Los traficantes no tienen acceso al panel C2 ni a otras herramientas. Su único propósito es aumentar la propagación del malware. La mayoría de las veces, logran esto disfrazando muestras como grietas e instrucciones para piratear programas legítimos en YouTube y otros sitios web.

^[1] No se incluyen las botnets IoT, ya que no se distribuyen bajo el modelo MaaS, sino el modelo DDoS-as-a-Service, que no se clasifica como MaaS.

Ejemplo de un vídeo utilizado por traficantes para difundir un ladrón de información

“Los ciberdelincuentes intercambian activamente bienes y servicios ilícitos, incluidos el malware y los datos robados, a través de los segmentos ocultos de la Internet. Al comprender cómo está estructurado este mercado, las empresas pueden obtener información sobre los métodos y las motivaciones de los posibles atacantes. Armados con esta información, podemos ayudar mejor a las empresas a desarrollar estrategias efectivas que prevengan los ataques cibernéticos al identificar y monitorear las actividades de los ciberdelincuentes, rastrear el flujo de información y mantenernos actualizados sobre las amenazas y tendencias emergentes”, agregó Alexander Zabrovsky.

Para proteger a su organización contra este tipo de amenazas, los expertos de Kaspersky recomiendan:

• Mantenga siempre el software actualizado en todos los dispositivos que utiliza para evitar que los atacantes se infiltren en su red aprovechando las vulnerabilidades. Instale parches para nuevas vulnerabilidades lo antes posible. Una vez descargado el parche, los agentes de amenazas ya no podrán abusar de la vulnerabilidad.
• Utilice la información más reciente de Threat Intelligence para estar al tanto de los TTPs reales utilizados por los agentes de amenazas.
• Utilice Kaspersky Digital Footprint Intelligence para ayudar a los analistas de seguridad a explorar cómo ve un adversario los recursos de su empresa y descubrir rápidamente los posibles vectores de ataque que tienen disponibles. Esto también le ayuda a crear conciencia sobre las amenazas existentes de los ciberdelincuentes para que ajuste sus defensas en consecuencia o tome medidas oportunas para combatirlas y eliminarlas.
• Si sufre un incidente, el Servicio de respuesta a incidentes de Kaspersky le ayudará a responder y minimizar las consecuencias; en particular, puede identificar nodos infectados y proteger la infraestructura contra ataques similares en el futuro.

Obtenga más información sobre el funcionamiento de Malware-as-a-Service en Securelist.