¿Sabías que existen afiliados en los grupos de ransomware?

En el ámbito de ciberseguridad es común el término de ransomware-as-a-service (RaaS) o ransomware como servicio, esto es debido al esquema de negocio que manejan la mayoría de los grupos de ransomware. Este esquema contempla que por cada creador de ransomware existen afiliados. Estos últimos son los encargados de llevar a cabo la mayoría de las fases de un ataque de ransomware que va desde identificar a la víctima y el despliegue del malware, hasta la exfiltración de información.

¿Cómo se lleva a cabo el reclutamiento de afiliados de ransomware?

El reclutamiento de afiliados de ransomware suele realizarse a través de diferentes canales cerrados y foros clandestinos, entre los cuales sobresale el foro RAMP, un foro dirigido a hablantes de ruso, chino e inglés, con un enfoque principal en el ransomware. El acceso a dicho foro es restringido y requiere cumplir ciertos requisitos tal como: ser miembros activos de otros foros clandestinos como Exploit o XSS con buena reputación.

En las investigaciones de SCILabs se observaron algunas publicaciones dentro del foro RAMP en el cual los creadores de ransomware promocionan su malware explicando las características de este y del esquema de negocio, mencionando las ganancias que tendrán para cada caso y el tipo de soporte que se brindará al afiliado, como si se tratara de cualquier otro tipo de servicio.

Un ejemplo de ello es una publicación de finales de 2021 en la que los creadores del ransomware Alphv/BlackCat mencionaron su nuevo programa de afiliados explicando las características, sistemas operativos compatibles, soporte y la tarifa dinámica de rescate que pedirán dependiendo de la víctima. Esta publicación tuvo diferentes reacciones de algunos usuarios del foro, que se mostraban interesados en este nuevo esquema, este llevó a Alpvh/BlackCat a ser uno de los principales grupos de ransomware a nivel mundial, hasta antes de su cese de actividades a inicios de 2024.

También dentro del mismo foro se han observado comentarios de los creadores de RansomHub, en los cuales se ofrecen mejores ganancias a afiliados conocidos de otros grupos para que colaboren con ellos, demostrando la importancia de los afiliados de confianza en este esquema de ransomware como servicio.

¿Por qué es importante conocer sobre los afiliados de ransomware?

Muchas veces cuando hablamos de indicadores de compromiso o TTP (tácticas, técnicas y procedimientos) de grupos de ransomware, en su mayoría estos hacen referencia a los afiliados de estos grupos, que, como se mencionó al inicio, son los encargados de llevar a cabo los ataques. Conocer a los afiliados de los grupos ayuda a una mejor comprensión de una de las principales amenazas para las organizaciones como lo es el ransomware.

Algunas recomendaciones para antes, durante y después de un incidente de ransomware se pueden consultar en el blog de SCILabs: https://blog.scilabs.mx/recomendaciones-antes-durante-y-despues-de-un-incidente-de-ransomware/

Fuentes:
Investigación de SCILabs – 2024