31 jul. 2017

Ransomware as a Service, demuestra la capacidad comercial de los ciberdelincuentes

Cada vez es más fácil de construir y lanzar ransomware, independientemente de las habilidades. Todo lo que uno necesita es mala intención y acceso a la web oscura – un mercado donde se venden kits de malware como zapatos o juguetes en Amazon. La tendencia se conoce como "Ransomware as a Service", y pocos ejemplos son tan llanos y peligrosos como Philadelphia.
En Black Hat 2017, Sophos publicó un informe en profundidad sobre el tema Ransomware como un Servicio (Raas): Deconstruyendo a Philadelphia [PDF], escrito por Dorka Palotay, una investigadora de amenazas en la oficina de SophosLabs en Budapest, Hungría. Se adentra en la mecánica interior de un kit de ransomware que cualquiera puede comprar por 400 dólares. Una vez comprado, los delincuentes pueden secuestrar y mantener los datos de una computadora hasta que la víctima pague el rescate.

Los creadores del kit RaaS – The Rainmakers Labs – dirigen su negocio de la misma manera que una compañía de software legítima hace para vender sus productos y servicios. Mientras Philadelphia se comercializa en el submundo de la web oscura, los potenciales compradores son recibidos por un video, producido con calidad en YouTube, explicando el funcionamiento del kit y cómo personalizar el ransomware con una gama de opciones de funciones. Una detallada "Guía de ayuda", que lleva a los clientes a través de la configuración, también está disponible en un sitio de la web.

Mientras que el ransomware-como-un-servicio no es nuevo, la comercialización brillante, abierta, de un ataque del ransomware “hágalo usted mismo” lo es.

"Es sorprendentemente sofisticado lo que The Rainmakers Labs está tratando de hacer aquí. Detalles sobre Philadelphia están a libre disposición en la World Wide Web, en lugar de estar secretos en la web oscura, que es donde la mayoría de otros kits de ransomware se comercializan. No es necesario un buscador de Tor para encontrar Philadelphia, y el hecho de que sea descaradamente vendido es serio y, desafortunadamente, indicativo de lo que está por venir", dijo Palotay.

Además de la comercialización, el producto en sí es avanzado con numerosos ajustes que los compradores pueden adaptar para orientar mejor cómo atacan a sus víctimas, incluyendo las opciones de "Seguir a las víctimas en un mapa de Google" y "Tener compasión". También se explican consejos sobre cómo construir una campaña, configurar el centro de comando y control y recaudar dinero. Todo está ahí.

Irónicamente, la función "Tener compasión" no es necesariamente para ayudar a las víctimas, sino que está ahí para ayudar a los ciberdelincuentes a salir de una situación complicada. "En su mayor parte, la opción Compasión es dar a los cibercriminales una escapatoria si están en una posición precaria después de un ataque en particular", dijo Palotay. También está allí en caso de que los amigos de un atacante accidentalmente se encuentren atrapados o si los criminales cibernéticos quieren probar su ataque.

La opción de "Seguir a las víctimas en un mapa de Google”, que suena espeluznante, da una idea de cómo los ciberdelincuentes determinan la demografía de sus víctimas, lo que podría ayudarles a decidir repetir un ataque, corregir un próximo ataque o salir con la opción "Compasión".

Las opciones de seguimiento de Compasión y Google y otras características en Philadelphia no son exclusivas de este ransomware, pero tampoco están muy extendidas. Estos son ejemplos de lo que se está volviendo más común en los kits y, como resultado, muestra cómo ransomware-as-a-service es cada vez más como un mercado de software del mundo real.

"El hecho de que Philadelphia sea vendido por US$ 400 y otros kits de ransomware vayan de $ 39 a $ 200 es notable. El precio de US$ 400, que es bastante bueno para lo que se promete a los compradores, incluye actualizaciones constantes, acceso ilimitado y compilaciones ilimitadas. Es como un servicio de software real que apoya a los clientes con actualizaciones periódicas".

Philadelphia también tiene lo que se llama un "puente" – un script PHP para gestionar las comunicaciones entre atacantes y víctimas y guardar información sobre los ataques.

Las características adicionales que los compradores de Philadelphia pueden personalizar incluyen el texto del mensaje de rescate que aparecerá a las víctimas y el color del mismo, si el mensaje aparece antes de que los datos de la víctima estén encriptados y “Ruleta Rusa”, que elimina algunos archivos después de un plazo predeterminado. "La ruleta rusa" es común en los kits de ransomware y se utiliza para dar pánico a los usuarios a pagar más rápido aleatoriamente y borrar archivos después de un número de horas.

Tener opciones de personalización y puentes conduce a más beneficios y añade una nueva dimensión al ciberdelito que podría aumentar la velocidad de la innovación de ransomware, comentó Palotay. En otros casos de RaaS examinados por SophosLabs, las estrategias de fijación de precios abarcaban desde la división de un porcentaje del rescate procedente de las víctimas con los clientes del kit, hasta la venta de suscripciones a los paneles que siguen a los ataques.

Código robado

El informe también revela que algunos ciberdelincuentes han crackeado Philadelphia y venden su propia versión a un costo menor. Mientras que el crackeo no es nuevo, la escala es interesante. Las amenazas preparadas que no requieren que los atacantes sepan lo que hacen y que están fácilmente disponibles para su compra están en constante evolución. Sophos estima que esta tendencia aumentará la apuesta y el fraude contra los defraudadores continuará.

"No es raro que los ciberdelincuentes roben el código de otros o se basen en versiones anteriores de otros programas de rescate, que es lo que vimos con el reciente ataque NotPetya. El ataque de NotPetya combinó Golden Eye, una versión anterior de Petya, con la hazaña de Eternal Blue para propagar e infectar computadoras a nivel mundial."

Fuente: DiarioTI

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!