Un nuevo estudio del equipo de Kaspersky Digital Footprint Intelligence revela que el ransomware es el malware como servicio (MaaS) más extendido de los últimos siete años. El informe analiza 97 familias de malware distribuidas a través de la darkweb. Los ciberdelincuentes contratan ladrones de información, botnets, downloaders y backdoors para realizar sus ataques.
El Malware as a Service (MaaS) o malware como servicio es un negocio ilegal que implica el alquiler de software para ejecutar ataques cibernéticos. Los clientes de estos servicios reciben una cuenta personal a través de la cual pueden controlar los ataques y recibir soporte técnico. Esto permite a personas sin demasiados conocimientos informáticos realizar ciberataques.
Según el informe, el ransomware, malware que secuestra datos y pide un rescate por recuperarlos, supone el 58% de todo el MaaS distribuido entre 2015 y 2022. El hecho de que genere grandes ganancias en menos tiempo que otros tipos de malware es la principal razón de su éxito.
La suscripción a Ransomware as a Service (RaaS) puede llegar a ser de inicio gratis, abonando la cantidad acordada al vendedor tras el ataque. El pago suele ser entre el 10% y el 40% de las ganancias. Acceder a este tipo de servicios no es fácil porque los requisitos impuestos por los vendedores son muy rigurosos.
El ransomware supone el 58% de todo el MaaS distribuido entre 2015 y 2022
Los ladrones de información representaron el 24% de las familias de malware distribuidas como servicio durante el periodo analizado. Están diseñados para robar datos como credenciales, contraseñas, tarjetas, cuentas bancarias, el historial del navegador o datos de billeteras criptográficas. Los servicios de robo de información se pagan a través de un modelo de suscripción. Tienen un precio de entre 92 y 280 euros mensuales.
Por poner un ejemplo, Raccoon Stealer, que ya no opera desde principios de febrero de 2023, podía adquirirse por 255 o 139 dólares a la semana. Su rival directo, RedLine, tiene un precio mensual de 139 euros. También existe la posibilidad de adquirir una licencia de por vida por unos 830 euros, según han comprobado los expertos de Kaspersky al analizar la darknet. Los atacantes también pueden acceder a servicios adicionales a cambio de un pago extra.
El 18% del malware vendido como servicio son botnets, downloaders y backdoors. Estas amenazas suelen tener un objetivo común: descargar y ejecutar otro malware en el dispositivo de la víctima. “El precio del cargador Matanbuchus varía con el tiempo. El precio actual arranca en los 4.500 euros al mes. Este tipo de malware es más costoso que los ladrones de información porque el código malicioso es más complejo y el vendedor brinda toda la infraestructura, lo que supone que el cliente no tiene que pagar más por los servicios de hosting cuando utilizan Matanbuchus. La cantidad de suscriptores de Matanbuchus es limitada, lo que hace más complicado detectar a los atacantes”, asegura Alexander Zabrovsky, analista de Kaspersky Digital Footprint.
El 18% del malware vendido como servicio son botnets, downloaders y backdoors
Estructura de la venta de MaaS Los ciberdelincuentes que operan plataformas MaaS se conocen comúnmente como operadores, mientras que los que compran estos servicios se conocen como afiliados. Tras cerrarse el trato, los afiliados reciben acceso a los componentes MaaS, como paneles de comando y control (C2), desarrolladores (programas para la creación rápida de muestras únicas de malware), malware y actualizaciones de interfaz, soporte, instrucciones, y alojamiento. Los paneles son un componente esencial que permite a los atacantes controlar y coordinar las actividades de las máquinas infectadas. Por ejemplo, pueden filtrar datos, negociar con la víctima, recibir soporte, crear muestras de malware únicas y realizar un sinfín de actividades más.
Algunos tipos de MaaS, como los ladrones de información, permiten a los afiliados crear sus propios grupos y equipos para ejecutar ciberataques. Se denominan Traffers. Son ciberdelincuentes que distribuyen malware para aumentar las ganancias. Los traffers no tienen acceso al panel C2 ni a otras herramientas. Su única tarea es aumentar la propagación del malware y cobrar por ello. En muchas ocasiones, enmascaran programas maliciosos dentro de vídeos en YouTube en los que explican cómo hackear aplicaciones legítimas.