The Rainmakers Labs presenta sus productos ransomware en una web con una apariencia de lo más normal y corriente

Actualmente es cada vez más fácil crear y lanzar ataques de ransomware, indistintamente de los conocimientos o habilidades que se tengan. Todo lo que se necesita es tener unos 400 dólares y acceso a la 'Internet oscura' y a los marketplaces de la dark web en los  que es posible encontrar y adquirir kits de malware como cualquier compra online.

En el caso concreto del ransomware, estos kits incorporan todo lo necesario para realizar ataques con el fin de obtener y secuestrar datos de ordenadores ajenos, exigiendo una compensación económica a cambio de la devolución de los mismos.

Estamos ante una nueva modalidad que aspira a convertirse en tendencia y que ya se conoce como «Ransomware-as-a-Service» (RaaS), y que Sophos lleva tiempo analizando para determinar su peligrosidad. En concreto, la compañía líder global en seguridad para protección de redes y endpoints ha deconstruido y tomado como ejemplo para este estudio el kit 'Philadelphia', creado por The Rainmakers Labs y que se comercializa como cualquier solución software dela industria legal.

Así, como explica Sophos en el informe “Ransomware as a Service (Raas): Deconstructing Philadelphia” de Dorka Palotay, presentado en Black Hat 2017, “aunque la ciberdelincuencia ya utilizaba el RaaS, lo que sí es nuevo es la introducción del marketing del 'hágalo-usted-mismo' aplicado a esta modalidad de ciberataques”.

De hecho, The Rainmakers Labs llevan su negocio de la misma forma que lo hace cualquier empresa legal dedicada a la venta de software: no solo se puede encontrar 'Philadelphia' en los escaparates ocultos de la dark web, también cuenta con vídeo-tutoriales en YouTube de calidad profesional, que explican el uso del kit y cómo personalizar el ransomware con diferentes opciones. También se puede encontrar en una web, de aspecto normal y corriente, que sirve de “guía de ayuda” y que se explica paso a paso cómo configurar y realizar un ataque.

Asimismo, Sophos reconoce que este kit de ransomware es bastante avanzado y cuenta con numerosas configuraciones de personalización para dirigir mejor los ataques, con acciones como “Encontrar víctimas en Google Maps”, ofrecer pautas demográficas de los ataques o el “Apiadarse”, que lejos de significar algún tipo de ventaja para los afectados, sirve para ayudar al cibercriminal a huir de situaciones comprometidas.

Aparte del mencionado kit, se pueden encontrar otros paquetes de ransomware cuyos precios oscilan entre los 39 y los 200 dólares, aunque con menos funcionalidades y opciones que el 'Philadelphia', que cuenta entre otras con actualizaciones y versiones ilimitadas; razones por las que su precio es considerablemente mayor.

Otras características extra que puede incluir son la personalización del texto y color del mensaje de rescate que le aparece a las víctimas, poder hacer que se visualice con anterioridad a que la información de la víctima sea encriptada y previo a la 'Ruleta Rusa', la acción que elimina algunos archivos al azar tras un determinado periodo de tiempo; una función común en los kits de ransomware para generar pánico y presionar a las víctimas para que paguen el rescate.

Cómo protegerse del RaaS

Para hacer frente a esta modalidad de cibercrimen y mejorar las respuestas ante todo tipo de ransomware, desde Sophos se recomienda:

1. Realizar backups regularmentey mantener una copia externa actualizada - Existen muchas otras formas, al margen del ransomware, por las que los archivos pueden desaparecer, como por ejemploincendios, inundaciones, robos, un portátil o incluso una eliminación accidental. Además, aplicando el cifrado al backup se evitan preocupaciones de que caiga en las manos equivocadas.
2. No habilitar macros en documentos adjuntos recibidos por email - Microsoft ha desactivado deliberadamente los macros auto-ejecutables por defecto hace ya varios años como medida de seguridad: muchas de las infecciones de malware se basan en persuadir al usuario de volver a activarlos y, por tanto, no  hay que hacerlo.
3. Tener cuidado con archivos adjuntos no solicitados - Los cibercriminales se valen del dilema que supone no abrir un documento hasta estar totalmente seguro de que es el que ese espera recibir, pero no es posible saberlo hasta que se abre. En caso de duda, es mejor no abrirlo.
4. Aplicar los parches a tiempo y con regularidad - El malware que no llega a través de los macros de los documentos a veces se sirven de los fallos en la seguridad de aplicaciones populares, como Office, Flash y otras. Cuanto antes se apliquen lo parches, menor número de brechas abiertas podrán explotar los cibercriminales. En caso de sufrir este tipo de ataque, los usuarios deben asegurarse de estar utilizando la versión más actualizada de PDF y de Word.
5. Utilizar Sophos Intercept X, que detiene el avance del ransomware al bloquear el cifrado no autorizado de archivos.
6. Probar a usar de forma gratuita Sophos Home para Windows y Mac.

Más información en www.sophos.com/es-es y acceso al informe en http://bit.ly/SophosInformePhiladelphia