Protección contra ransomware
El ransomware es un tipo de troyano que modifica los datos del usuario en el equipo de una víctima, de modo que esta ya no pueda utilizar los datos ni ejecutar completamente en el equipo. Una vez que los datos se capturan como "rehenes" (mediante bloqueo o cifrado), el atacante exige un rescate al usuario. Al final exige a la víctima que envíe dinero al malhechor; al recibirlo, el cibercriminal promete enviar un programa a la víctima para restaurar los datos o restaurar el rendimiento del equipo.
El ransomware es una de las amenazas más populares que ahora enfrenta al mundo cibernético por las siguientes razones:
- Esta amenaza tiene un modelo de monetización claro
- Implementar este tipo de malware es fácil
El ransomware puede ser complejo o simple, según las víctimas previstas:
- El ransomware común se propaga ampliamente a través de campañas de spam maliciosas, kits de exploits, etc.
- El ransomware complejo se utiliza en ataques dirigidos
El ataque de ransomware tiene varias etapas:
- Entrega en la máquina de una víctima: archivo adjunto malicioso en un mensaje de spam, explotación de vulnerabilidades, penetración en caso de ataque dirigido
- Ejecución: cifrado de archivos importantes del usuario
- Solicitud de rescate
- Descifrado de datos (opcional)
Para una protección eficaz contra el ransomware, una solución de seguridad tiene que utilizar un modelo de protección de varios niveles. La protección de varios niveles de última generación de Kaspersky permite que los productos detecten el ransomware en la etapa de entrega y ejecución del ataque. Analicemos con más detalle estas etapas.
Etapa de entrega: Archivo adjunto malicioso en mensaje de spam
Actualmente, una de las maneras más comunes de distribuir ransomware es enviar archivos con scripts ejecutables en correos electrónicos (correo spam). Como alternativa, los documentos de Microsoft Office con macros maliciosas se utilizan como archivos adjuntos.
En los productos de Kaspersky, el antivirus para correo de componente analiza el contexto completo del mensaje (incluidos los archivos adjuntos de correo electrónico) y aplica heurística sólida al contenido.
Etapa de entrega: Explotación de vulnerabilidades
La prevención de exploits (EP) es un componente especial que impide la penetración de malware (incluido el ransomware) en las vulnerabilidades de software. Entre las aplicaciones más importantes protegidas por EP se encuentran los navegadores, las aplicaciones de Office, los lectores de PDF, etc. En cada acción sospechosa del software mencionado, como el inicio del proceso secundario, el componente aplica un análisis de seguridad adicional de su comportamiento contra patrones maliciosos. EP ayuda a bloquear el ransomware, como CryptXXX y muchos otros.
En 2017, se descubre el uso de vulnerabilidades de red como un método de distribución de ransomware. El ransomware WannaCry proliferó por medio de explotación de vulnerabilidades de pymes. Este exploit solo se puede detener en el nivel de red. Los productos de Kaspersky tienen un componente especial para el análisis del tráfico de red: sistema de detección de intrusiones (IDS). Este componente analiza los paquetes de red en el nivel bajo y les aplica patrones heurísticos para detectar la actividad maliciosa de la red. Este componente detecta correctamente los exploits externalBlue/EternalRomance. Esto ayudó a prevenir la infección de WannaCry.
Etapa de ejecución
Los actores de la amenaza tratan de eludir la detección estática con diferentes métodos. En este caso, la detección de comportamiento es la última línea de defensa, pero la más poderosa. El análisis de cada actividad del proceso permite revelar patrones maliciosos. Después de eso, el producto finaliza el proceso y se revierten los cambios con el motor de corrección. La detección basada en comportamiento es eficaz incluso en amenazas antes desconocidas, incluido el ransomware. Un patrón básico de ransomware consta de varios pasos:
- Encontrar archivos importantes en la máquina de la víctima
- Leer el contenido de cada archivo
- Cifrar el contenido y guardar los cambios en el disco
Si el patrón de comportamiento malicioso coincide el motor de comportamiento bloquea el proceso y revierte los cambios con el motor de corrección. Entre los ejemplos de detección exitosa de ransomware mediante este patrón se encuentran Polyglot, WannaCry (parte de cifrado del malware), etc.
La detección del ransomware no está limitada por el patrón mencionado y muchos otros podrían ser eficientes contra este tipo de amenazas. La eficiencia del se demostró durante el ataque realizado por el ransomware ExPetr en julio de 2017. Los actores de la amenaza utilizaron parte de bajo nivel del ransomware Petya para el cifrado de la tabla principal de archivos (MFT, contiene todos los metadatos de archivos, directorios y archivos del sistema de archivos NTFS). Para ejecutarlo, ejecutan un componente de alto nivel, que reescribe el registro de arranque principal (MBR) del disco duro. El componente del motor de comportamiento de amenazas marca dicho comportamiento como malicioso y detiene el proceso. Incluso si otros actores de amenaza escriben ransomware similar, su funcionalidad fallaría independientemente de los tipos de ofuscación o técnicas antiemulación utilizados.
Ransomware en ataques dirigidos
En 2017, los expertos de Kaspersky registraron varios grupos que atacaban a las organizaciones con un objetivo principal: cifrar sus datos.
En muchos casos de ataques dirigidos, se utilizaron utilidades legítimas para el cifrado de discos o archivos. Por ejemplo, DiskCryptor para cifrado y PsExec para instalación masiva a través de la red corporativa. Las detecciones estáticas y básicas basadas en comportamiento de las utilidades legítimas serían ineficientes debido a la producción de falsos positivos en caso de uso legítimo. Esto crea el requisito de recopilar y analizar el contexto completo del uso de la utilidad. En el ejemplo mencionado, el patrón de instalación de la utilidad legítima para el cifrado a través de la utilidad PsExec podría ser sospechoso y la correspondiente aplicación de la protección por parte del producto impediría que los datos se dañen sin falsas alarmas adicionales para otros usuarios.
