Hace ya un tiempo, los desarrolladores de amenazas informáticas dejaron de conformarse con obtener ganancias monetizando la información robada o secuestrando datos, y comenzaron a extender su portafolio para ofrecer servicios de cibercrimen a cualquiera que esté dispuesto a pagar por ellos. Así, nacieron las modalidades de fraude, malware, ataques y ransomware "as a service", comercializando los elementos necesarios para ejecutar estas actividades maliciosas independientemente de las habilidades o conocimientos técnicos del comprador.
Un nuevo ejemplo de Ransomware-as-a-Service (RaaS) es Karmen, detectado por las soluciones de ESET como una variante de MSIL/Filecoder.AK. Karmen se vende en foros de la Dark Web por 175 dólares y promete a sus clientes rápidas ganancias con poco esfuerzo. DevBitox, el cibercriminal de habla rusa que lo comercializa, afirma que se trata de un malware que requiere pocos conocimientos técnicos para ser ejecutado; ofrece un tablero gráfico que le permite a los operadores controlar el número de infecciones y las ganancias obtenidas en tiempo real.
Tal como reporta The Register, las primeras infecciones de Karmen se reportaron en diciembre de 2016 en Alemania y Estados Unidos. Los foros de comercialización comenzaron a aparecer en marzo de 2017.
Karmen es un derivado de Hidden Tear, un proyecto de ransomware de código abierto cuyos creadores compartieron en GitHub "con fines educativos" en 2015. Dicha variante usa el algoritmo de cifrado AES-256 para inutilizar los archivos de la víctima y muestra un mensaje en pantalla para instarla a pagar el rescate; desde su publicación, se han ido añadiendo componentes para hacer al código más dañino.
Por ejemplo, tiene medidas de protección anti-VM y anti-sandboxing, por lo que no se ejecutará cuando detecte que está en dichos entornos.
Se cree que DevBitox ya vendió 20 copias de Karmen y es probable que siga encontrando clientes. Tal como explicó Miguel Mendoza, investigador de ESET, este tipo de modelos de negocio implican que los desarrolladores de la amenaza no son los encargados de propagarla, ya que solo brindan las herramientas para hacerlo. De esta forma, tanto los creadores como los encargados de propagar las amenazas obtienen ganancias económicas.
Cerber, el mayor exponente del RaaS
Por su parte, Cerber comenzó a superar a Locky en niveles de detección en los primeros meses de 2017. Según un reporte de Malwarebytes Lab, en enero Cerber concentraba el 70%, mientras que en marzo alcanzó el 87%.
El "secreto de su éxito" tiene mucho que ver con la adopción del modelo de Ransomware-as-a-Service, ya que permite que la amenaza sea modificada y personalizada para afectar distintos tipos de objetivos, sean usuarios hogareños o grandes corporaciones.
Por ejemplo, el año pasado cibercriminales comprometieron el sitio de descarga oficial del software Ammyy Admin, de manera que los usuarios que querían obtener el programa legítimo de administración remota terminaban infectándose con Cerber.
En julio de 2016, sus variantes tuvieron un pico de infecciones que les permitieron a los cibercriminales detrás recaudar hasta 200 mil dólares. Por lo tanto, Karmen todavía tiene mucho camino que recorrer si quiere alcanzarlo...
Naturalmente, es posible prevenir la infección de estos y otros tipos de ransomware usando una solución de seguridad completa; además, en caso de que se produzca un incidente, un backup actualizado permitirá restaurar los archivos comprometidos.
Sigue leyendo: 11 formas de protegerte del ransomware
