Las herramientas de Malware-as-a-Service (MaaS) han jugado un papel crucial en muchas de las amenazas más prevalentes del primer semestre del año. Recientes informes evidencian que este fenómeno, impulsado por la creciente demanda y las bajas barreras de entrada, ha democratizado el cibercrimen, permitiendo que incluso los actores menos experimentados puedan ejecutar ataques potencialmente devastadores.
PUBLICIDAD
¿Qué es el Malware-as-a-service?
El concepto de MaaS no es nuevo. Se trata de un modelo de negocio en el que los desarrolladores de malware ofrecen sus productos como servicios a otros ciberdelincuentes, quienes pagan por acceder a herramientas pre-empaquetadas y listas para usar.
Este enfoque “plug-and-play” significa que incluso aquellos sin habilidades técnicas avanzadas pueden lanzar ataques efectivos. Según un reciente informe de Darktrace, el éxito de este modelo radica en su capacidad para generar ingresos recurrentes a través de suscripciones, algo muy similar a como operan las empresas legítimas de software como servicio (SaaS).
Esta facilidad de acceso ha llevado a un aumento significativo en la cantidad y diversidad de ataques cibernéticos. Esta evolución constante de las herramientas de MaaS ha permitido la creación de vectores de ataque nuevos y adaptativos, como esquemas avanzados de phishing y malware polimórfico, que evolucionan continuamente para evadir la detección.
Adaptación y resiliencia: La evolución del MaaS
El informe de Darktrace señala que estas herramientas pueden cambiar sus tácticas, técnicas y procedimientos (TTPs) de una campaña a otra, lo que les permite eludir las herramientas de seguridad tradicionales. Esto explica la naturaleza adaptativa de las cepas de MaaS, que se perfeccionan continuamente para mantener su eficacia frente a las defensas cibernéticas.
El informe de Darktrace también revela que muchas herramientas de MaaS siguen utilizando familias de malware que han estado activas durante años, como Amadey y Raspberry Robin. Esto demuestra que, aunque las cepas de MaaS a menudo adaptan sus TTPs de una campaña a otra, muchas de ellas permanecen esencialmente sin cambios, pero continúan siendo efectivas.
La amenaza de la doble extorsión
Con el enfoque MaaS, los actores maliciosos no solo encriptan los datos de su objetivo, sino que también exfiltran archivos sensibles con la amenaza de publicarlos si no se paga el rescate.
PUBLICIDAD
Esta estrategia se ha convertido en una práctica estándar desde su inicio en noviembre de 2019. Es por ello que los expertos aseguran que la doble extorsión es popular porque, incluso las víctimas con una buena copia de seguridad, no están negando la totalidad del riesgo.
Y a pesar de que el porcentaje de víctimas que pagan rescates ha disminuido con el tiempo, aquellos que deciden pagar lo hacen por sumas mucho mayores, muchas veces para proteger la información confidencial robada de ser publicada o utilizada en su contra en un futuro ataque por el mismo atacante.
Las limitaciones de DMARC y la evasión de seguridad
DMARC es un componente fundamental de la estrategia de seguridad de los correo electrónicos, ya que permite a los receptores de correos que usan el dominio autenticado confiar en que los mensajes provienen del propietario del dominio y no de un impostor. Sin embargo, DMARC tiene sus limitaciones, ya que los estafadores pueden crear dominios con nombres similares a una marca reconocida y aplicar DMARC en ellos, lo que les permite pasar las verificaciones de seguridad y llegar a las bandejas de entrada de las víctimas.
Así, mientras los estafadores puedan pasar el dominio falso con apariencia similar frente a las víctimas, sus correos electrónicos pasarán las verificaciones de DMARC. Esta vulnerabilidad subraya la necesidad de una estrategia de seguridad de múltiples capas que incorpore detección avanzada impulsada por IA y análisis de comportamiento para complementar las medidas de seguridad tradicionales.
Pareciera que el Malware-as-a-Service ha transformado el panorama de las amenazas cibernéticas, democratizando el acceso a herramientas poderosas que antes estaban reservadas para ciberdelincuentes altamente calificados. La lucha contra el MaaS y otras amenazas cibernéticas requiere un enfoque de seguridad integral que no solo incluye herramientas avanzadas de detección y respuesta, sino también un compromiso constante con la actualización y el mantenimiento de todos los aspectos de la infraestructura de TI.
