211service.com
Dos formas de detener el ransomware en seco
El ransomware se ha convertido en una amenaza que afecta tanto a las empresas como a las personas, pero los investigadores han ofrecido pruebas tentadoras de que pronto podremos detenerlo antes de que cause algún daño.
La categoría de malware de más rápido crecimiento es el ransomware criptográfico, software que infecta una computadora a través de los mismos medios que otro software malicioso y luego codifica silenciosamente los archivos de los usuarios, haciéndolos ilegibles. Cuando las víctimas descubren el problema, el malware les explica que tienen que pagar una tarifa por la clave de cifrado que hará que sus archivos se puedan volver a utilizar.
Dos equipos de investigación han avanzado nuevas formas de detectar ransomware antes de que pueda causar un daño real. Los fabricantes de software antivirus se retrasan en la detección específica de ransomware, pero dicen que está por llegar.
Con un cifrado fuerte disponible para los creadores de malware, en la mayoría de los casos, los usuarios cuyos archivos han sido cifrados no pueden recuperar los originales a menos que tengan un archivo anterior a la infección o paguen la tarifa. El ransomware se basa en el honor entre los ladrones, y la mayoría de las veces, al pagar la tarifa, se libera la clave de cifrado necesaria. Prevenir una infección o detenerla en seco es la única otra salida.
De acuerdo a un informe reciente de Symantec , los atacantes realizan millones de intentos de infectar a los usuarios cada día y decenas de miles de sistemas son tomados como rehenes cada mes. Si bien los informes de tarifas altas pueden dominar las noticias, como un hospital cuyos archivos fueron retenidos como rehenes hasta que pagó $ 17,000 para desbloquearlos, los distribuidores de ransomware generalmente buscan un golpe rápido que la mayoría de los consumidores pagarán de mala gana. La tarifa promedio requerida para desbloquear archivos se duplicó con creces, de $294 a fines de 2015 a $679 en junio de 2016, dice Symantec.
Los investigadores presentaron recientemente dos artículos que ofrecen una detección efectiva de las acciones únicas que utiliza el ransomware para tomar como rehenes los archivos de los usuarios. Los fabricantes de antivirus dicen que si bien esos enfoques pueden funcionar en el laboratorio, es más difícil duplicarlos en condiciones reales debido a la rápida adaptación de los creadores de malware. Sin embargo, se avecinan cambios que deberían reducir el valor económico de implementar ransomware.
Investigadores de la Universidad del Noreste han creó un sistema de escaneo fuera de línea , denominado Unveil, que lanza malware sospechoso en un entorno virtual protegido, como un cerebro en una caja, para monitorear su comportamiento de manera controlada y luego califica rápidamente si se trata o no de ransomware. Un grupo separado de investigadores de la Universidad de Florida y la Universidad de Villanova creó un sistema de monitoreo en tiempo real llamado CryptoDrop que podría detener el ransomware casi de inmediato.
Ambos proyectos observaron el comportamiento fundamental en el que se involucra el ransomware: leer datos de muchos documentos y luego reemplazar esos archivos (eliminándolos o sobrescribiéndolos) con nuevos contenidos que no solo son completamente diferentes sino que también están claramente encriptados. Amin Kharraz del equipo de Unveil dice que el comportamiento de bajo nivel de todo el ransomware se ajusta a un patrón que se puede identificar.
Unveil también podía comprobar si aparecía una pantalla de rescate mientras se ejecutaba el software, ya que los mensajes que exigen dinero son bastante diferentes de lo que la mayoría de los sistemas operativos y software muestran normalmente.
Vincent Weafer, vicepresidente de McAfee Labs de Intel Security, considera que el trabajo es interesante, pero no se muestra optimista acerca de que sea completamente efectivo en el uso en el mundo real. 'Si el 90 por ciento de los defensores usan las mismas características, los malos intentarán modificar y ofuscar'.
Por ejemplo, si una herramienta analiza si un archivo ha cambiado de texto sin formato a un formato cifrado, los atacantes pueden cifrar solo partes de un archivo para que sea ilegible e irrecuperable, sin indicarle al software que cambió lo suficiente. O si los cambios rápidos en una gran cantidad de archivos activan una alerta, el ransomware podría desaparecer lenta y pacientemente. Los autores de los dos artículos en entrevistas separadas sostienen que el comportamiento básico del ransomware solo se puede disfrazar ligeramente, sin embargo, no se puede ocultar de manera efectiva.
Los investigadores de Unveil probaron una gran muestra de malware recolectado en la naturaleza y estimaron una tasa de precisión de casi el 97 por ciento en la identificación de un subconjunto de aproximadamente 14,000 variantes de ransomware; incluso descubrieron una nueva familia que las empresas antimalware no conocían. Los autores de CryptoDrop probaron 492 ejemplos conocidos (extraídos de 14 familias importantes de ransomware) y reconocieron el 100 por ciento en tiempo real con una pérdida promedio de 10 archivos antes de que la actividad fuera reconocida y detenida.
Los dos conjuntos de académicos han encontrado un terreno fértil para la exploración, pero Weafer de McAfee Labs y Sean Sullivan, asesor de seguridad de F-Secure Labs, advierten que probar un conjunto de archivos simulados y un subconjunto de malware no coincide con el desorden de el mundo real. Ambos enfatizan la detección en etapa temprana por software que examina la actividad de la aplicación. También dicen que el ransomware no es diferente de otras infecciones que se propagan indiscriminadamente al atacar sistemas operativos más antiguos, sistemas sin parches y aquellos que ejecutan Flash y Java.
También se da el caso de que el ransomware recibe más atención porque está 'en tu cara', como dice Weafer, mientras que la mayoría del malware se esconde y puede llevar a cabo negocios no relacionados con el usuario cuya máquina ha sido comprometida.
Si bien es posible que el trabajo específico de estos dos equipos académicos no llegue directamente al software antimalware, Weafer dice que para fin de año se comenzarán a incorporar nuevos enfoques para bloquear el ransomware en la industria del software de seguridad. Realizar verificaciones más estrictas antes de que se pueda iniciar una aplicación, como verificar en una base de datos central si la aplicación se ha ejecutado alguna vez en cualquier computadora en cualquier parte del mundo, es una de las estrategias que las empresas están dispuestas a discutir.
'Las amenazas de alto perfil no duran para siempre', dice Weafer. El ransomware se desvanecerá y será reemplazado por la siguiente amenaza.