5 kits de ransomware como servicio (RaaS) – SophosLabs investiga

En los últimos meses, le hemos contado sobre los kits de distribución de ransomware que se venden en Dark Web a cualquiera que pueda pagarlos. Estos paquetes de RaaS (ransomware como servicio) permiten que las personas con poca habilidad técnica ataquen con relativa facilidad.

Naked Security ha informado sobre paquetes individuales, y en julio publicamos un documento sobre una de las campañas más prolíficas y astutas: Filadelfia .

Este artículo analiza el problema de una manera más amplia, analiza cinco kits RaaS y compara / contrasta cómo se comercializa y se valora cada uno. La investigación fue realizada por Dorka Palotay, un investigador de amenazas basado en la oficina de SophosLabs en Budapest, Hungría.

Medir los ataques de ransomware basados ​​en RaaS es difícil, ya que los desarrolladores son buenos cubriendo sus pistas. Las muestras recibidas por SophosLabs han medido de un solo dígito a cientos. Eso no suena demasiado en la superficie, pero la pregunta de los investigadores ahora es cómo las ventas de estos kits han contribuido a los niveles globales de ransomware en su conjunto.

La tarea de luchar contra la proliferación de RaaS comienza con saber qué hay allí, y ese es el objetivo de este artículo. Sean cuales sean los números, este fenómeno casi seguramente ha ayudado a que el flagelo del ransomware global empeore, y la cantidad de kits disponibles solo aumentará con el tiempo.

Filadelfia

Como se señaló anteriormente, Filadelfia es uno de los casos más sofisticados y conocedores del mercado. Hay más opciones para personalizar, y por $ 389 uno puede obtener una licencia ilimitada completa.

Los creadores del kit RaaS, Rainmakers Labs, dirigen sus negocios de la misma manera que una empresa de software legítima para vender sus productos y servicios. Mientras vende Filadelfia en mercados ocultos en Dark Web, presenta un video introductorio de calidad de producción en YouTube, explicando los aspectos prácticos del kit y cómo personalizar el ransomware con una variedad de opciones de funciones.

Los clientes incluyen a un policía adolescente austríaco arrestado en abril por infectar a una compañía local. En ese caso, el presunto pirata informático había bloqueado los servidores de la empresa y la base de datos de producción, y luego exigió $ 400 para desbloquearlos. La víctima se negó, ya que la compañía pudo recuperar los datos de las copias de seguridad.

Stampado

Este fue el primer kit RaaS de Rainmaker Labs, que comenzaron a vender en el verano de 2016 por el bajo precio de $ 39.

Según sus experiencias a fines de 2016, los desarrolladores crearon Filadelfia, mucho más sofisticada, que incorporó gran parte del maquillaje de Stampado. Sus creadores confían lo suficiente en la supremacía de Filadelfia que piden la suma mucho más sustancial de $ 389.

Stampado continúa siendo vendido a pesar de la creación de Filadelfia. El siguiente anuncio es del sitio web del desarrollador:

Frozr Locker

Los kits FileFrozr se ofrecen por el precio de 0.14 en bitcoins. Si está infectado, los archivos de las víctimas están encriptados.

Los archivos con alrededor de 250 extensiones diferentes se cifrarán. La página de Frozr Locker señala que las personas deben adquirir una licencia para usar el generador:

Sus creadores incluso ofrecen soporte en línea para que los clientes hagan preguntas y resuelvan problemas:

Satán

Este servicio afirma generar una muestra de ransomware que funciona y le permite descargarlo gratis, le permite establecer su propio precio y condiciones de pago, recolecta el rescate en su nombre, proporciona una herramienta de descifrado a las víctimas que pagan y paga el 70% de los ingresos a través de Bitcoin.

Sus creadores conservan el 30% de los ingresos restantes, por lo que si la víctima paga un rescate por valor de 1 bitcoin, el cliente recibe 0.7 en bitcoin.

La tarifa se mueve más o menos dependiendo de la cantidad de infecciones y pagos que el cliente pueda acumular.

Al crear una muestra de Satanás para enviar al mundo, los clientes completan el formulario a continuación para confeccionar el esquema de pago. Incluye un cuadro de captcha para asegurarse de que usted es quien dice ser.

RaasBerry

SophosLabs detectó por primera vez este en julio de 2017. Se anunció en la Web oscura y, como los demás, permite al cliente personalizar su ataque. Los paquetes se precompilan con un Bitcoin y una dirección de correo electrónico que el cliente proporciona, y el desarrollador se compromete a no tomar una parte de los beneficios:

Los clientes pueden elegir entre cinco paquetes diferentes, desde una suscripción de un mes de "Plástico" y de control a una suscripción de tres meses "de bronce", y así sucesivamente:

Medidas defensivas

Por ahora, la mejor manera para que las empresas y las personas combatan el problema es seguir estas medidas defensivas contra el ransomware en general:

  • Copia de seguridad regularmente y mantener una copia de seguridad reciente fuera del sitio. Hay muchas maneras, además del ransomware, de que los archivos pueden desaparecer repentinamente, como incendios, inundaciones, robos, una computadora portátil caída o incluso una eliminación accidental. Encripte su copia de seguridad y no tendrá que preocuparse de que el dispositivo de copia de seguridad caiga en las manos equivocadas.
  • No habilite macros en documentos adjuntos recibidos por correo electrónico. Microsoft paró deliberadamente la ejecución automática de macros por defecto hace muchos años como medida de seguridad. Muchas infecciones de malware se basan en persuadirlo para que vuelva a activar las macros, ¡así que no lo haga!
  • Tenga cuidado con los archivos adjuntos no solicitados. Los ladrones confían en el dilema de que no debe abrir un documento hasta que esté seguro de que es uno que desea, pero no puede decir si es uno que desea hasta que lo abra. En caso de duda, dejarlo fuera.
  • Parche temprano, parche a menudo. El malware que no entra a través de macros de documentos a menudo se basa en errores de seguridad en aplicaciones populares, como Office, su navegador, Flash y más. Cuanto antes remienda, menos agujeros abiertos quedan para que los ladrones exploten. En el caso de este ataque, los usuarios quieren asegurarse de que están utilizando las versiones más actualizadas de PDF y Word.
  • Use Sophos Intercept X si está buscando proteger una organización. Intercept X detiene ransomware en sus pistas al bloquear el cifrado no autorizado de archivos.
  • Pruebe Sophos Home para Windows y Mac para ayudar a proteger a su familia y amigos. ¡Es gratis!