El código malicioso puede detectarse ya sea mirando lo que es o lo que hace. El primer método es el más simple y antiguo de los dos y utiliza las propiedades estáticas del código como su hash binario, secuencias binarias contenidas y cadenas, nombre, entropía o funciones importadas.

Sin embargo, los servicios de ransomware a petición y el código de auto-modificación generan fácilmente código completamente nuevo con la misma funcionalidad, haciendo que este método de detección sea obsoleto. El sistema de distribución de ransomware descrito por Cybereason en su investigación de la Operación Kofer es sólo un ejemplo de un ataque donde cada víctima fue infectada con un binario de ransomware único. Además, el ransomware es la carga útil preferida para las campañas de descarga y campañas malvertising. Ambos ataques infectan a las víctimas sin su conocimiento, y desafortunadamente, los filtros de spam y los sistemas de escaneo de correo electrónico de sandbox no pueden evitarlos.

Esto significa que la única manera realista de detectar ransomware es mirando lo que hace. En otras palabras, el enfoque heurístico-conductual. Pero hay una captura –los ransomware tiene varias diferencias clave que lo hacen destacar de otros programas maliciosos.
El ransomware no es sutil – La mayoría del malware persiste silenciosamente en la red, inspeccionando cuidadosamente el entorno de la red, esperando instrucciones o la oportunidad correcta de atacar. Estos programas enmascaran sus acciones para evadir la detección y tratar de obtener privilegios elevados. El ransomware, por otro lado, quiere ser descubierto. Tan pronto como el programa empieza a encriptar archivos, se revela a la víctima y exige un gran rescate, muchas veces junto con varias amenazas.

jigsaw-ransomware

La investigación de Cybereason sobre variantes de ransomware muestra que aunque hay algunas muy sofisticadas, muchas son crudas y mal escritas. Pero al igual que un arma improvisada, las variantes menos refinadas son fáciles de producir y pueden ser extremadamente eficaces. Un trozo de código malicioso que promueve su existencia hace retroceder la forma en que funcionan los productos anti-malware más tradicionales. Usted puede pensar que la falta de intrincados mecanismos maliciosos hace que el ransomware sea más fácil de detectar. Pero a menudo las conductas y las técnicas maliciosas son los puntos débiles del malware y hacen que estos programas se destaquen para los defensores.

El ransomware no necesita ser exacto – Los troyanos bancarios roban números de tarjetas de crédito y detalles de cuentas bancarias extrayendo cuidadosamente de ubicaciones específicas en el navegador cuando accede a dominios específicos. El ransomware, por el contrario, sólo quiere causar tanto daño como sea posible. No necesita cifrar todos sus archivos para tener éxito – sólo tiene que codificar los suficientes importantes. El ransomware captura y cifra cualquier cosa: planillas de ingresos trimestrales, documentos de Word, presentaciones de PowerPoint, archivos README genéricos, fotos de familia. Y la lista continúa. El ransomware dispara en todas direcciones y espera golpear algo importante. Esta falta de especificidad hace que el ransomware sea más difícil de detectar. No puedes concentrarte en defender sólo ciertas ubicaciones o aplicaciones. Tienes que vigilar todo, todo el tiempo.

Los ransomware son alarmantemente rápidos – el ransomware tarda entre cinco y 20 minutos para cifrar cada archivo relevante en el disco duro promedio (dependiendo de la velocidad de la máquina y el número de archivos). Esto significa que incluso el más lento ransomware de un solo hilo puede cifrar varios archivos potencialmente importantes en cuestión de segundos. Dado que el ransomware funciona rápidamente, el tiempo de detección y respuesta es de suma importancia, lo cual puede ser problemático para ciertas soluciones de detección de comportamiento. A diferencia de la detección basada en lo que es el código, la detección de lo que hace el código es propenso a falsos positivos y requiere la recopilación de pruebas adicionales antes de que se alcance un veredicto.

Cada programa de ransomware revisa archivos, elige los que parecen interesantes, los cifra y destruye los originales. ¿Sabes Usted qué más hace esto? Los software de compresión, las aplicaciones de cifrado legítimas y las soluciones de copia de seguridad y sincronización en la nube, además de muchos más programas. El mismo comportamiento se muestra incluso si manualmente se comprime un directorio con una contraseña y, a continuación, lo elimina. Desde que el ransomware cifra cualquier archivo en cualquier lugar en un equipo, es muy difícil distinguir una actividad de archivo legítima de una maliciosa. Mientras que cada archivo cifrado aumenta la probabilidad de que se detecte el ransomware, cada archivo cifrado es igual a otra pieza importante de información perdida. Cada segundo cuenta cuando el ransomware comienza a cifrar archivos.

Cybereason RansomFree: Software gratuito basado en bloqueo de Comportamiento de Ransomware

Cybereason investigó más de 40 variedades de ransomware, incluyendo Locky, Cryptowall, TeslaCrypt, Jigsaw y Cerber, e identificó los patrones de comportamiento que distinguen el ransomware de las aplicaciones legítimas. Ya sea que un grupo criminal o nación creó el programa, todas las funciones de ransomware son de la misma manera y cifra tantos archivos como sea posible. Estos programas no pueden determinar qué archivos son importantes para que encripten todo basado en extensiones de archivo.

RansomFree, de Cybereason’s es una herramienta gratuita anti-ransomware basada en comportamiento, que tiene en cuenta todos estos desafíos. Al poner múltiples métodos de engaño en su lugar, RansomFree detecta el ransomware tan pronto como el cifrado se produce en una computadora o unidad de red. Una vez que el cifrado es detectado, RansomFree lo suspende, muestra un popup que advierte a los usuarios que sus archivos están en riesgo y les permite detener el ataque.

RansomFree protege contra la encriptación local, así como el cifrado de archivos en unidades de red o compartidas. El cifrado de los archivos compartidos se encuentra entre los escenarios apocalípticos que una organización puede imaginar. Se necesita sólo un empleado en la red para ejecutar ransomware y afectar a toda la empresa.

RansomFree captura programas de ransomware autónomos, así como ransomware sin archivos. Ransomware autónomo utiliza vulnerabilidades en aplicaciones, como el código Flash de buggy, pero el ransomware sin archivos abusa de las herramientas legítimas de Windows, como el lenguaje de secuencias de comandos PowerShell o JavaScript, para llevar a cabo sus intenciones maliciosas.

Cybereason está lanzando RansomFree el pasado 16 de Diciembre del 2016. Puede descargarlo (actualmente sólo está disponible para Windows) o compartirlo con amigos y familiares. ¡Pruébelo!

Para descargar Cybereason RansomFree aprenda cómo funciona en este enlace.

Fuente: Cybereason blog

Anuncios