Dos equipos han conseguido detectarlo con más de un 95% de eficacia, pero crear un sistema de defensa a partir de ellos no será útil cuando los atacantes conozcan cómo funciona
El ransomware se ha convertido en una amenaza que ataca a empresas y particulares por igual (ver Internet ofrece un nuevo crimen perfecto: el secuestro de datos y Un hospital recurre al papel y al fax al verse paralizado por un ciberataque 'ransomware'). Pero los investigadores han ofrecido muestras alentadoras que indican que pronto seremos capaces de detenerlo incluso antes de que haga daño.
La categoría de malware que más rápido está creciendo es el ransomware criptográfico. Se trata de un software que infecta ordenadores del mismo modo que cualquier otro software malicioso, y después los hace ilegibles. Cuando las víctimas descubren el problema, el malware les explica que deberán pagar un importe a cambio de la llave de encriptación que permitirá que los archivos vuelvan a ser legibles.
Dos equipos de estudio han realizado avances sobre nuevas maneras de detectar el ransomware antes de que pueda causar daños reales. Los desarrolladores de software de antivirus se encuentran algo rezagados en relación al ransomware, pero afirman que ya está cerca.
Al contar con una encriptación sólida de fácil acceso para los creadores de malware, en la mayoría de los casos los usuarios cuyos datos han sido encriptados no pueden recuperar sus archivos, a menos que tengan un archivo previo a la infección o que paguen el precio. El ransomware se basa en el "honor entre ladrones", y la mayoría de las veces el pago de la tarifa basta para recibir la clave de encriptación. Prevenir la infección o frenarla en seco es la única manera de escapar.
De acuerdo con un informe reciente de Symantec, los atacantes realizan millones de intentos diarios para infectar a los usuarios, y decenas de miles de sistemas caen como rehenes cada mes. Pero solo los secuestros con rescates muy costosos salen en los medios, como el del hospital cuyos archivos fueron retenidos hasta que pagó 15.000 euros para liberarlos. Los distribuidores de ransomware prefieren un golpe rápido que la mayoría de los consumidores pagarían a regañadientes. Symantec afirma que la tarifa media solicitada para desbloquear los archivos ha aumentado a más del doble a fecha de junio de 2016, desde los 260 euros hasta los más de 600 euros.
Los investigadores publicaron recientemente dos informes que ofrecen una detección efectiva de las acciones específicas que realiza el ransomware para tomar los archivos del usuario como rehenes. Los desarrolladores de antivirus aseguran que este enfoque puede funcionar en los laboratorios, pero es más difícil replicarlo en las condiciones del mundo real debido a la rápida adaptación de los creadores de ransomware. Sin embargo, se van a producir cambios que reducirían la rentabilidad de desplegar este tipo de código malicioso.
Investigadores de la Universidad Northeastern (EEUU) han creado un sistema de escaneado offline, apodado Unveil, que ejecuta el malware sospechoso en un entorno virtual protegido (como si fuese un cerebro en una caja) para monitorizar su comportamiento de forma controlada, y después evalúa rápidamente si se trata de un ransomware o no. Otro grupo de investigadores de la de la Universidad de Florida y de la Universidad Villanova (ambas en EEUU) han creado un sistema de monitorización en tiempo real denominado CryptoDrop que podría parar el ransomware casi de inmediato.
Ambos proyectos observaban el comportamiento fundamental que realiza el ransomware: lee los datos de múltiples documentos y sustituye esos archivos (ya sea borrándolos o sobrescribiéndolos) con contenido que no solo es diferente, sino que está encriptado. Amin Kharraz, miembro del equipo de Unveil, afirma que el comportamiento de perfil bajo del ransomware sigue un patrón identificable.
Unveil también pudo comprobar si aparecía una pantalla similar al ransom mientras se ejecutaba el software, ya que los mensajes que solicitan dinero son bastante diferentes de los que muestran normalmente los sistemas operativos u otro software.
El vicepresidente de Seguridad de Intel Security de McAfee Labs, Vincent Weafer, considera este trabajo interesante, aunque no tiene una perspectiva optimista sobre si resultaría útil utilizarlo en el mundo real. Weafer afirma: "Si el 90% de los programas de protección cuentan con las mismas características, entonces los 'malos' intentarán modificarlo o engañarlo".
Por ejemplo, si una herramienta observa que un archivo ha pasado de ser texto simple a un formato encriptado, los atacantes podrían encriptar solo algunas partes del archivo para hacer ilegible e irrecuperable, de forma que el software no detecte que se haya producido un cambio significativo. O también si realizar cambios rápidos sobre un gran número de archivos activa una alerta, el ransomware podría modificarlos lenta y pacientemente. En entrevistas independientes, los autores de ambos informes sostienen que el comportamiento básico del ransomware solo puede camuflarse sutilmente, pero no ocultarse por completo.
Los investigadores de Unveil realizaron pruebas sobre un gran número de malware recopilado en entornos reales, y estimaron una tasa de precisión del 97% a la hora de identificar un subconjunto de 14.000 variantes de ransomware. Incluso descubrieron una nueva familia que las empresas antimalware no conocían. Los creadores de CryptoDrop realizaron pruebas sobre 492 ejemplos conocidos (extraídos de 14 familias principales de ransomware) e identificaron el 100% en tiempo real, con una media de 10 archivos perdidos antes de que la actividad fuese reconocida y detenida.
Los dos grupos han encontrado un terreno fértil para la exploración. Sin embargo, tanto Weafer de McAfee Labs y el asesor de seguridad de F-Secure Labs Sean Sullivan alertan de que realizar pruebas con archivos simulados y con un subconjunto de malware no refleja el caos del mundo real. Ambos hacen hincapié en la alerta temprana mediante software que detecte la actividad de la aplicación. También afirman que el ransomware no supone una diferencia respecto a otras infecciones que se propagan sin control atacando sistemas operativos antiguos, sistemas sin actualizar y aquellos que ejecutan Flash y Java.
También es posible que el ransomware reciba más atención puesto que se ejecuta "delante de tus narices", tal como señala Weafer, mientras que la mayoría del malware se oculta y ejecuta su tarea de forma independiente al usuario cuyo ordenador ha sido infectado.
A pesar de que el trabajo de ambos grupos puede implica el desarrollo de un software antimalware, Weafer afirma que a final de año comenzarán a incorporarse nuevos enfoques para bloquear el ransomware a la industria de seguridad de software. Una de las estrategias que las compañías están dispuestas a debatir consiste en realizar comprobaciones más estrictas, como verificar una base de datos central o controlar si la aplicación se ha ejecutado alguna vez en algún ordenador del mundo, antes de poder ejecutar una aplicación.
Según Weafer, "las amenazas de alto perfil no duran para siempre". El ransomware desaparecerá y será sustituido por una nueva amenaza.