Cabecera blog ciberseguridad

Las 10 claves del Ransomware as a Service

- Ciber 4 All Team

El ransomware as a service es un peligro que se cierne sobre miles de empresas

El auge del Ransomware as a Service ha multiplicado el número de potenciales atacantes a los que tienen que enfrentarse las compañías y las administraciones públicas

Software as a Service (SaaS), Plataform as a Service (PaaS), Infraestructure as a Service (IaaS)… La era del Cloud ha traído consigo la aparición de numerosos servicios que las empresas pueden contratar, sin necesidad de contar con infraestructura física, puesto que se encuentran alojados en la nube. El modelo AAS (as a service) conlleva numerosas ventajas tanto a nivel económico como de agilidad y flexibilidad. Tal es así que los delincuentes no han tardado en sumarse a esta dinámica. ¿Cómo? Mediante el Ransomware as a Service (RaaS).

Un modelo de negocio en el que los desarrolladores de ransomware ponen a disposición de miles de usuarios sus productos maliciosos, descentralizando, así, la ejecución de los ataques contra compañías, administraciones y ciudadanos.

DarkSide, Revil, Lockbit, Emperor Dragonfly, Conti… Estos grupos de ciberdelincuentes se han hecho tristemente célebres por desarrollar ransomware que ha sido empleado para atacar a miles de empresas e instituciones en todo el mundo. Todos ellos emplean el modelo de Ransomware as a Service, fomentando que cientos de personas puedan emplear sus malware para cometer acciones maliciosas.

La aparición de estos actores y la extensión del modelo RaaS han repercutido de forma trascendental en el aumento de los ataques de ransomware que se ha registrado en los últimos años. Y que han causado pérdidas millonarias a compañías de todo el mundo.

A continuación, vamos a analizar las claves del Ransomware as a Service, poniendo el foco en la necesidad de que las empresas y las administraciones públicas mejoren su resiliencia frente a los ataques de ransomware, incluidas las pequeñas y medianas empresas.

1. Ransomware, la gran amenaza de esta era

Aunque a estas alturas ya estamos más que acostumbrados a escuchar hablar de ransomware, debemos comenzar por definir el concepto. El ransomware es un tipo de malware que encripta datos de las víctimas y pide un rescate (ransom) a cambio de devolverle el acceso a las víctimas. Se trata, en esencia, de un secuestro de información.

Mediante el ransomware, los atacantes infectan un sistema con código malicioso y cifran datos especialmente sensibles. Por ejemplo, el Hospital Clínic de Barcelona sufrió en marzo un ataque de ransomware que permitió a los agresores secuestrar los datos médicos de miles de pacientes. En el mismo mes, Ferrari, una de las empresas de automóviles más famosas del mundo, sufrió el secuestro de los datos de contacto de sus clientes (nombres, teléfonos, emails…).

Si las víctimas proceden a pagar el rescate solicitado, los atacantes deberían proporcionan una clave para descifrar la información secuestrada. Pero lo cierto es que muchos agresores no proporcionan la clave. Al igual que en el plano físico muchos secuestradores no cumplen con su palabra tras el pago del rescate. Al contrario, realizan una segunda extorsión, amenazando a sus víctimas con filtrar sus datos. De tal forma que cada vez menos empresas están dispuestas a realizar ningún pago a los criminales.

Este peligroso contexto evidencia la necesidad de que las compañías cuenten con servicios de ciberseguridad que les permitan prevenir los ataques ransomware e implementar controles de seguridad para detectarlos y responder a estos ataques con eficacia. De lo contrario, las empresas pueden ver paralizada su actividad y tener que hacer frente a gravosas consecuencias económicas, reputacionales y legales.

2. ¿Qué es el Ransomware as a Service?

Como su propio nombre indica, el Ransomware as a Service es un modelo de negocio delictivo, en el que desarrolladores de este tipo de malware lo comercializan como un servicio, en vez de emplearlo ellos en exclusividad.

La comercialización del RaaS se lleva a cabo en la famosa Dark Web. En foros clandestinos, los desarrolladores ponen en marcha campañas para captar afiliados y/o compradores, interesados en emplear el ransomware creado por el grupo criminal para llevar a cabo ataques de forma autónoma contra empresas e instituciones.

¿Por qué resulta sugerente el modelo RaaS para miles de actores maliciosos? Porque no necesitan desarrollar ellos mismos el ransomware. Lo cual es de gran utilidad para aquellos delincuentes que carecen de los conocimientos técnicos necesarios para crear un ransomware eficaz para subvertir las medidas defensivas de las empresas.

Además, al adquirir el ransomware de forma inmediata, los atacantes se ahorran el tiempo de desarrollo, pudiendo lanzar ataques en un plazo de tiempo mínimo.

A través de esta sucinta explicación podemos vislumbrar cuáles son los dos grandes actores que intervienen en el modelo delictivo del Ransomware as a Service: los desarrolladores y los afiliados.

El Ransomware as a Service es un modelo delictivo muy lucrativo

2.1. Desarrolladores

Se tratan de grupos criminales con recursos económicos y conocimientos técnicos. No solo desarrollan un ransomware capaz de infectar una red y secuestrar datos y documentos confidenciales, sino que ponen en marcha una compleja estructura delictiva.

Los Ransomware as a Service más sofisticados no solo incluyen el ransomware en sí, sino que ofrecen un servicio de soporte permanente, una guía para lanzar ataques y ayuda continua para el uso del paquete de ransomware y a lo largo de todo el proceso hasta conseguir el pago del rescate. Es más, muchos RaaS ofrecen un panel de control para que los afiliados puedan gestionar las diferentes fases del ataque. E, incluso, ponen a disposición de los afiliados servidores de comando y control.

De tal forma que los desarrolladores no solo crean un ransomware con un alto porcentaje de éxito y que resulta difícil descubrir, sino que también ponen en marcha una amplia infraestructura para facilitar todo el proceso al máximo, incluyendo servidores de mando y control.

A cambio, se ahorran tener que llevar a cabo ellos mismos los ataques, con todo el esfuerzo en tiempo y recursos que ello conlleva, desde la selección del target hasta el cobro del rescate. Y, además, se garantizan unos ingresos fijos. Puesto que, sin importar los resultados, obtienen el pago del precio afiliación. Lo que entronca, directamente, con el Software as a Service. Una empresa que contrata estos servicios, los paga periódicamente, sin que entre en juego el uso que les da.

2.2. Afiliados

La otra pata del sistema delictivo del Ransomware as a Service son los atacantes que emplean el ransomware para ejecutar ataques contra empresas, administraciones públicas e, incluso, meros ciudadanos.

Mientras resulta sencillo definir el perfil de los grupos criminales detrás del Ransomware as a Service (organizaciones bien preparadas, con amplios conocimientos técnicos e infraestructura…), los afiliados resultan más difusos.

Como hemos ido señalando a lo largo del artículo, una de las claves del RaaS es que democratiza la posibilidad de que personas que no pueden desarrollar una variante de ransomware puedan emplear esta técnica para secuestrar datos.

Así, los afiliados pueden ser delincuentes sin un nivel de conocimientos técnicos elevado. Pero también grupos de ciberdelincuentes capaces de atacar con éxito una red o un sistema (por ejemplo, mediante campañas de phishing), pero que no disponen del tiempo, la experiencia o los recursos necesarios para desarrollar su propio ransomware. Las opciones son múltiples.

Todos los posibles perfiles de afiliados tienen en común su objetivo: llegar hasta la información, encriptarla y exigir un pago a cambio de desencriptarla. Así como el medio que eligen para lograrlo: el Ransomware as a Service.

Habida cuenta de lo que venimos de señalar, cabe destacar que los afiliados se encargan de:

  • Establecer los targets contra los que van a atacar.
  • Ejecutar los ataques con el objetivo de persistir el máximo tiempo posible y secuestrar los datos.
  • Ponerse en contacto con las víctimas para exigir el rescate. Por ejemplo, dejando un archivo de texto con la nota de secuestro.
  • Enviar las claves para descifrar los archivos y datos encriptados… En caso de que cumplan con su palabra.

2.3. Modelos de Ransomware as a Service

Más allá de las cuestiones directamente ligadas con la ciberseguridad, cuando hablamos del Ransomware as a Service es fundamental tener en cuenta cómo funciona este método delictivo a nivel económico. Existen tres grandes tipologías:

  • Suscripción. Al igual que una persona suscrita a Netflix paga una suscripción mensual por acceder a la plataforma de streaming y poder disfrutar de su contenido, los afiliados del Ransomware as a Service pueden pagar una cantidad fija por emplear el código malicioso y todas las herramientas que ofrezcan los desarrolladores. Esta cantidad es fija, sin importar el dinero que logra sustraer ilícitamente el atacante a través del secuestro de datos.
  • Compra de licencia. Es la tipología menos común. El comprador adquiere el derecho a usar el ransomware realizando un único pago.
  • Comisión. A cambio de poder emplear la infraestructura del Ransomware as a Service, el atacante tiene que pagar al grupo delictivo parte de los beneficios que obtiene con los secuestros. Por ejemplo, un 50% de las ganancias.
  • Programa de afiliación. Es la tipología más común y combina el modelo de suscripción con el de reparto de beneficios. De tal forma que los afiliados pagan una cuota fija todos los meses y, además, han de entregar al grupo de Ransomware as a Service un porcentaje de los ingresos fraudulentos que generan. A los grupos delictivos les resulta muy atractiva esta opción porque se garantizan unos ingresos fijos sin renunciar a que el éxito de sus afiliados se traduzca en más dinero ilícito.

Cabe señalar, también, que los pagos del rescate se exigen, habitualmente, a través de criptomonedas, para dificultar la posibilidad de que las autoridades rastreen los pagos hasta los afiliados y los grupos de Ransomware as a Service.

3. Hive, un ejemplo paradigmático de Ransomware as a Service desmantelado

Una de las claves del RaaS radica en su capacidad de impactar en más empresas que una campaña de ransomware normal. Para muestra un botón. Durante dos años, el grupo Hive comercializó Ransomware as a Service, permitiendo a sus afiliados atacar a más de 1.500 compañías de todo el mundo, desde 2021 hasta finales de 2022.

Este enero, el FBI y la Interpol realizaron una operación conjunta para desmantelar la infraestructura de esta organización criminal, que durante los dos últimos años fue capaz de obtener más de 100 millones de dólares a través de la extorsión. Previamente, las autoridades habían hackeado a la organización, suministrando a las víctimas las claves para desencriptar sus datos, drenando, de esta forma, su capacidad de obtener ingresos mediante la extorsión.

¿Qué tipo de compañías fueron atacadas con el ransomware de Hive? Empresas de Estados Unidos y la Unión Europea de toda clase de sectores y tamaños. Desde hospitales hasta compañías tecnológicas, pasando por eléctricas e, incluso, por la mayor empresa de residencias de mayores de España, DomusVi.

¿Qué lecciones podemos extraer de este ejemplo?

  1. El nivel de peligrosidad y propagación exponencial del Ransomware as a Service.
  2. El impacto económico de los ciberataques.
  3. La enorme diversidad de empresas que son potenciales víctimas del Ransomware as a Service. No solo las grandes compañías de sectores estratégicos como el financiero son susceptibles de ser atacadas.
  4. La importancia creciente que le están dando los estados a la lucha contra los grupos criminales que emplean este método.
  5. La resignación frente a los ataques es una estrategia errada y el pago de los rescates sirve para financiar las infraestructuras criminales y fortalecerlas.

4. El factor humano

Una de las claves del RaaS es que combina el desarrollo tecnológico puntero con el factor humano.

Los grupos criminales emplean sus bastos conocimientos para paquetizar el ransomware y ofrecerlo a decenas de actores maliciosos para que lo operen de forma activa. Es decir, para que pongan en marcha ataques selectivos y dirigidos por personas, frente a ataques de ransomware mercancía, que se propagan a través de phishing de forma indiscriminada. Por recurrir al argot marinero, mera pesca de arrastre.

Mientras que los ataques de ransomware operados por los afiliados de los grupos de Ransomware as a Service cuentan con targets específicos y persiguen unos objetivos concretos. Por ejemplo, secuestrar los datos de contacto de los clientes de una empresa. O hacerse con documentos estratégicos de una compañía que, de caer en manos de la competencia, le causarían un gran perjuicio.

Cuando hablamos del Software as a Service, a menudo señalamos que este modelo facilita el acceso de las empresas y los profesionales a software que les ayude a trabajar de forma más eficiente e incrementar los beneficios de sus negocios. Pues bien, el RaaS funciona de forma similar, pero desde una óptica criminal. Se tratan de desarrollos avanzados que se ponen a disposición de atacantes, que no necesitan ser capaces de desarrollar su propia variante de ransomware para cumplir sus objetivos. En este caso, acceder y secuestrar datos de una empresa.

A su vez, el desarrollo de código malicioso se ve complementado por las técnicas, tácticas y procedimientos de los atacantes. Las posibilidades de éxito son mayores en los ataques dirigidos que en los ataques indiscriminados. No es lo mismo saber qué estás buscando y disponer información sobre tu víctima y sus medidas de seguridad, que atacar a organizaciones o ciudadanos de los que no se sabe nada.

El Ransomware as a Service permite que atacantes sin conocimientos puedan ejecutar acciones maliciosas

5. ¿Cómo acceder a las víctimas? Initial Access Broker y Phishing

Los atacantes que se afilien a un programa de RaaS o adquieran este código malicioso pueden emplearlo para propagarlo por un sistema y cumplir sus objetivos, pero… ¿cómo acceden al sistema?

  1. Initial Access Broker. Así como existen ciberdelincuentes especializados en desarrollar ransomware, también hay criminales que proporcionan credenciales de acceso a los sistemas de una empresa. Estos actores maliciosos emplean diversas técnicas, que van desde el uso de fuerza bruta para vulnerar contraseñas, hasta la puesta en marcha de ataques de Ingeniería Social. Una vez que consiguen las credenciales, se las venden a otros delincuentes como los atacantes de ransomware.
  2. Phishing y otras técnicas de Ingeniería Social. Más allá de la contratación de los servicios fraudulentos de Initial Access Broker, los afiliados pueden poner en marcha ellos mismos sus campañas de phishing. Por ejemplo, un profesional de la compañía objetivo recibe un mail en su correo corporativo con apariencia de ser legítimo. Dicho email contiene un archivo descargable o un enlace. Si el trabajador pincha en el link o descarga el archivo habrá descargado, sin saberlo, el ransomware.

Los grupos más avanzados de RaaS pueden ofrecer servicios de Initial Access Broker o asesorar a sus afiliados en la puesta en marcha de campañas de phishing u otra modalidad de Ingeniería Social.

Además, existen atacantes afiliados especializados en acceder a las redes corporativas que optan por el RaaS, porque carecen de los medios o conocimientos para desarrollar el código malicioso o prefieren centrarse en la ejecución de ataques.

Del mismo modo, hay atacantes especializados en la operación de campañas de ransomware, pero que pueden no disponer de conocimientos técnicos necesarios para ejecutar un ataque exitoso más allá de posibles ataques de phishing. En este sentido, también existen delincuentes que ofrecen sus conocimientos técnicos avanzados para ejecutar posibles intrusiones en infraestructuras corporativas.

6. La multiplicación de los atacantes

La paquetización del ransomware provoca que no solo los ciberdelincuentes experimentados puedan realizar ataques empleando este tipo de malware, sino que el abanico de potenciales atacantes se expande radicalmente. Lo que da pie a la multiplicación del número de atacantes y de incidentes de seguridad; así como al hecho de que se produzcan ataques específicos como:

  • Ataques de la competencia. Una empresa puede recurrir a un proveedor de Ransomware as a Service para infiltrarse en la red corporativa de un rival y acceder a información sobre su estrategia empresarial o paralizar su actividad para menoscabar su modelo de negocio y su reputación.
  • De los proveedores. En muchos casos los proveedores de servicios disponen de acceso a la red corporativa de una organización. Esta situación supone que una posible afectación o infección de un ransonmware que afecte a un proveedor pueda llegar a trasladarse a la red interna corporativa de su cliente.
  • Dada, también, las relaciones bilaterales que existen entre clientes y proveedores, la situación podría ser la contraria. Que un proveedor pueda verse comprometido por una campaña que afecta a uno de sus clientes.
  • Ataques de cadena de suministro. Como ya hemos apuntado en otras ocasiones, los ataques de cadena de suministro son otra de las tendencias a tener en cuenta en el mundo de la ciberseguridad. Quizás un atacante no sea capaz de acceder directamente a los sistemas de una compañía con una estrategia de seguridad avanzada, pero puede infectar previamente a un proveedor de la empresa para colarse en su interior.

En esencia, los grupos de Ransomware as a Service vienen a armar a potenciales atacantes que, hasta la irrupción de este modelo delictivo, carecían de los medios o los conocimientos para emplear esta clase de código malicioso para cometer fraudes contra empresas, administraciones públicas y ciudadanos.

7. ¿También tú, Bruto? Ataques internos contra las compañías

Cuando pensamos en los ciberataques, nos imaginamos a delincuentes con amplios conocimientos que se aprovechan de una vulnerabilidad detectada en un sistema o del descuido de un profesional para atacar a una empresa. Lo que nos lleva a olvidarnos de una tipología de ataque que existe desde que el mundo es mundo: los ataques internos.

Así como el senador Bruto traicionó a su amigo y mentor Julio César, los profesionales de una organización pueden usar su acceso a los sistemas, redes y equipos de la compañía para secuestrar y/o exfiltrar datos y documentos.

Este escenario resulta muy atractivo para los grupos de Ransomware as a Service, puesto que no es necesario encontrar una forma de acceder al sistema, sino que el atacante ya cuenta con un acceso legítimo al mismo.

Muchas compañías centran sus esfuerzos en proteger el perímetro IT de sus organizaciones, pero descuidan las medidas de control internas y la política de permisos de acceso. De tal forma que, si se lanza un ataque de ransomware desde dentro, la capacidad de propagación y persistencia es altísima y la posibilidad de detección es mínima.

De ahí que algunos grupos delictivos fomenten en sus campañas de promoción la incorporación de trabajadores con acceso a las redes corporativas. Este target de afiliado incluye desde profesionales descontentos, hasta trabajadores dispuestos a cometer un delito a cambio de una importante cantidad de dinero. Como nos enseñó la serie Breaking Bad: la ambición desmedida pueda corromper a las personas.

En este último sentido, la implementación de políticas de segmentación en las redes corporativas tanto a nivel de red como a nivel de control de acceso a la información o a recursos son esenciales. Minimizar la superficie de exposición tanto a nivel externo como interno es una tarea esencial en el contexto de una organización.

Los servicios de Red Team ayudan a luchar contra el ransomware y mejorar la resiliencia

8. Las tácticas de los atacantes para lograr sus objetivos

Hasta este momento, hemos abordado cómo acceden los delincuentes a las redes y sistemas corporativos y cómo logran que se ejecute el ransomware. Pero… ¿qué tácticas llevan a cabo los atacantes para lograr sus objetivos? Para sistematizarlas podemos recurrir al framework de ATT&CK MITRE:

  • Persistencia. Esta táctica se implementa mediante técnicas para mantener el acceso a la red, aunque la organización realice acciones como el cambio de credenciales.
  • Escalada de privilegios. Esta táctica se emplea para conseguir permisos de seguridad de mayor nivel y, así, poder cumplir con los objetivos fraudulentos, para ello se aprovechan de debilidades, problemas de configuración y vulnerabilidades.
  • Evasión de defensas. Para poder permanecer el mayor tiempo posible, es fundamental que el atacante logre evadir los controles de detección de la organización. Esto implica usar técnicas como la desinstalación de software de seguridad.
  • Movimiento lateral. Mediante esta táctica, los atacantes buscan moverse por entorno corporativo para conseguir sus objetivos.
  • Recolección y exfiltración de los datos, llevando a cabo su encriptación para solicitar un rescate a cambio de facilitar las claves de desbloqueo. O, como veremos a continuación, proceder a robar los datos para amenazar con filtrarlos públicamente o para emplearlos en otras operaciones fraudulentas.

Mediante estas tácticas, el atacante busca permanecer un largo periodo de tiempo en el sistema comprometido, aumentando sus oportunidades para lograr los objetivos fraudulentos estipulados y generar un mayor daño en la organización.

9. La peligrosa espiral de la extorsión

El secuestro de datos confidenciales puede conllevar, por sí mismo, la paralización de las actividades habituales de una empresa o administración pública. Como sucedió en el caso del Hospital Clínic, pero también en otros incidentes de seguridad tristemente célebres, como el ciberataque de Fancy Bear contra el principal centro de investigación de España, el CSIC.

Las consecuencias de un ataque de ransomware exitoso, ya de por sí preocupantes, se agravan si los delincuentes optan por realizar una doble extorsión. Es decir, no se limitan a secuestrar los datos y pedir un rescate para desencriptarlos, sino que, también, amenazan a sus víctimas exigiendo un pago a mayores para no filtrar la información en un sitio público.

Algunos grupos de Ransomware as a Service cuentan con su propio sitio para realizar las filtraciones.

Sin ir más lejos, a finales de marzo, el grupo de Ransomware as a Service Lockbit 3.0 publicó en su página de filtraciones que había atacado con éxito a la compañía de restauración Telepizza. Los delincuentes exigieron un rescate a cambio no publicar los datos obtenidos y secuestrados.

La doble extorsión no solo evidencia los riesgos a los que se enfrentan las compañías e instituciones que son víctimas de esta clase de ataques, sino que demuestra, también, que las organizaciones no pueden fiarse de que los criminales cumplirán con su palabra y les facilitarán las claves para desencriptar sus datos.

Es más, ya se han detectado casos en los que los delincuentes han añadido más capas de extorsión. Por ejemplo, amenazando también a los clientes de la empresa cuyos datos han sido sustraídos, para que paguen individualmente otro rescate. O lanzando ataques DDoS para paralizar a la organización y forzarla a que pague. O métodos clásicos como informar a los medios de comunicación y a los clientes y proveedores.

10. Red Team: Mejorar la resiliencia ante la proliferación del Ransomware as a Service

Más allá de las actuaciones que llevan a cabo las fuerzas de seguridad para desmantelar a los grupos de Ransomware as a Service, las empresas pueden y deben tomar medidas para protegerse frente a esta peligrosa tendencia en el mundo de la ciberseguridad. ¿De qué actuaciones estamos hablando? Acciones básicas como:

  • Securizar los activos empresariales críticos, subsanando las debilidades encontradas y parcheando las vulnerabilidades.
  • Implementar medidas de detección temprana de ataques que tengan en cuenta no solo los vectores, sino también las rutas que pueden seguir los agresores dentro de los sistemas corporativos.
  • Segmentar las redes corporativas para dificultar la propagación del ransomware y el movimiento lateral de los atacantes.
  • Realizar copias de seguridad periódicas y bien protegidas para recuperar los datos secuestrados y garantizar la continuidad de negocio.
  • Apostar por la formación y la concienciación de todos los profesionales de la compañía.

Las consecuencias de un ataque de ransomware pueden ser de suma gravedad, afectando a la continuidad de negocio y a la reputación de la organización. Además, si no se aborda esta problemática de forma estratégica, la recuperación de un ataque de este tipo puede ser lenta y costosa, porque limpiar al 100% un sistema no es una tarea sencilla.

Por ello, las compañías con una estrategia de ciberseguridad avanzada, sometidas a una legislación más exigente, con un nivel de ciberexposición mayor y que afrontan riesgos más elevados, pueden recurrir a servicios más sofisticados como el Red Team. ¿Por qué?

Los servicios de Red Team sirven para mejorar los sistemas de detección y respuesta de una organización, optimizándolos para que detecten las intrusiones en etapas tempranas de la Cyber Kill Chain y, así, eviten el robo de información estratégica o el menoscabo de la continuidad de negocio.

10.1. Escenario de Red Team basado en la simulación de ransomware

El Red Team simula actuar como si se tratase de un actor malicioso real, para conseguir un objetivo concreto, por ejemplo, acceder a datos confidenciales sobre los clientes de la empresa.

Para ello, es preciso diseñar un escenario de Red Team en el que se establezcan:

  • Tipo de actor malicioso que se va a simular (la competencia, un atacante interno, un agresor remoto…).
  • Vector de intrusión que se ha de emplear (por ejemplo, el phishing o el robo de credenciales de usuario).
  • Los objetivos: elevación de privilegios, sabotear productos o equipos, realizar pagos fraudulentos… o desplegar ransomware.

De tal forma, que los servicios de Red Team pueden realizar simulaciones de ransomware y comprobar fehacientemente cómo responden los controles de seguridad, equipos e infraestructura IT ante este tipo de ataques.

Durante una simulación de ransomware se llevan a cabo dos fases:

  1. Escenario de Red Team. Se llevan a cabo todas las actividades como si un afiliado de un grupo de Ransomware as a Service estuviera detrás y su objetivo fuese desplegar ransomware para secuestrar datos confidenciales.
  2. Gap-Analysis: Se evalúa la respuesta de las capas defensivas, tanto a nivel de detección del ataque, como en lo relativo a la contención y recuperación de los activos.

¿Cuál es el objetivo final de los servicios de Red Team? Mejorar la resiliencia de la organización frente a los ataques de ransomware.

En definitiva, el Ransomware as a Service ha supuesto la proliferación de los potenciales atacantes a empresas, rompiendo con barreras como la necesidad de contar con conocimientos para desarrollar un código malicioso eficaz contra las capas defensivas de las compañías. Las organizaciones deben enfrentarse a este complejo panorama disponiendo de servicios de ciberseguridad avanzados como el Red Team.

No te olvides de que cualquiera puede atacar a tu empresa.