zephyr_p - stock.adobe.com
Tres técnicas de detección de ransomware para identificar un ataque
Si bien la prevención es clave, no es suficiente para proteger el sistema de una empresa del ransomware. Reduzca el daño de los ataques con estos tres métodos de detección de ransomware.
Por más que lo intenten, las organizaciones no pueden evitar el ransomware para siempre. Con el tiempo, los atacantes entrarán en sus sistemas. El objetivo entonces es detectar ransomware antes de que cifre y extraiga datos críticos para la empresa.
"El mundo ha reconocido claramente que no podemos evitar que se produzcan todos los ataques", dijo Dave Gruber, analista del Enterprise Strategy Group de TechTarget. "El adversario va a comprometer nuestros sistemas; van a entrar. La carrera es detectar y detener a los atacantes antes de que suceda algo".
Cuando el ransomware ingresa a una red, puede causar daños graves que afectan los resultados y la imagen de la empresa. Cuando los equipos de seguridad ven las demandas de rescate, el daño ya está hecho.
La prevención es fundamental en la batalla contra el ransomware. Pero, como señaló Allie Mellen, analista de Forrester, las actividades de detección y respuesta añaden una capa de protección, especialmente cuando se trata de evitar que el ransomware se mueva lateralmente en un sistema.
La detección de ransomware implica el uso de una combinación de automatización y análisis de malware para descubrir archivos maliciosos en las primeras etapas de la cadena de eliminación. Pero el malware no siempre es fácil de encontrar. Los adversarios suelen ocultar el ransomware dentro de software legítimo, como scripts de PowerShell, VBScript, Mimikatz y PsExec, para escapar de la detección.
"El objetivo final es detectar actividad maliciosa, no necesariamente detectar malware. El proceso de detección y análisis a menudo consiste en reunir una serie de actividades que podrían ser sospechosas para determinar si realmente está sucediendo algo malicioso", dijo Gruber.
Para comenzar, veamos las técnicas de detección de ransomware, que se dividen en tres tipos principales: detección basada en firmas, basada en comportamiento o basada en engaños.
1. Detección basada en firmas
La detección de ransomware basada en firmas compara un hash de muestra de ransomware con firmas conocidas. Proporciona un análisis estático rápido de archivos en un entorno. Las plataformas de seguridad y el software antivirus capturan datos desde un ejecutable para determinar la probabilidad de que sea ransomware frente a un ejecutable autorizado. La mayoría del software antivirus sigue este paso cuando busca malware.
Los equipos de seguridad también pueden usar el cmdlet Get-FileHash de Windows PowerShell o herramientas de inteligencia de código abierto, como VirusTotal, para obtener el hash de un archivo. Con los algoritmos de hash actuales, los profesionales de la seguridad pueden comparar el hash de un archivo con muestras de malware conocidas. Luego, los equipos de seguridad pueden utilizar herramientas antivirus y antimalware para bloquear tipos de archivos específicos. Esto evita que los usuarios descarguen malware sin darse cuenta por correo electrónico o la web.
Las técnicas de detección de ransomware basadas en firmas son un primer nivel de defensa. Si bien son útiles para encontrar amenazas conocidas, los métodos basados en firmas no siempre pueden identificar malware más nuevo.
Los atacantes actualizan sus archivos de malware con frecuencia para evitar ser detectados. Agregar un solo byte a un archivo crea un nuevo hash, lo que disminuye la detectabilidad del malware. En 2022, la empresa de seguridad de redes SonicWall descubrió 465.501 variantes de malware nunca antes vistas, según su "Informe de amenazas cibernéticas 2023".
A pesar de esto, la detección basada en firmas es útil para identificar muestras de ransomware más antiguas y archivos conocidos, dijo Mario de Boer, vicepresidente ejecutivo de Gartner. También brinda protección contra campañas de ransomware que son generales, en lugar de dirigidas, dijo.
2. Detección basada en el comportamiento
Los métodos de detección de ransomware basados en el comportamiento comparan nuevos comportamientos con datos históricos para ayudar a los profesionales y herramientas de seguridad a buscar indicadores de compromiso. Por ejemplo, estos métodos pueden detectar si alguien accede de forma remota al escritorio de una empresa desde otro estado cuando el empleado inicia sesión desde la oficina ese mismo día.
La detección basada en comportamiento incluye los siguientes pasos:
- Medición de cambios en el sistema de archivos. Los equipos de seguridad deben buscar ejecuciones anormales de archivos, como un exceso de cambios de nombre de archivos. Algunos ocurren en un día laboral normal, pero cientos en un corto período de tiempo levantan señales de alerta. El ransomware puede permanecer oculto en los sistemas durante un tiempo antes de ejecutarse, por lo que los equipos de seguridad también deben buscar la creación de un archivo con mayor entropía que un archivo original, así como la enumeración y cifrado de archivos.
- Búsqueda de tráfico anormal. Los equipos de seguridad deben examinar el tráfico en busca de anomalías, como si algún software se está conectando a sitios sospechosos para compartir archivos y la hora de dichas acciones. Los equipos también deben verificar si el volumen de tráfico ha aumentado recientemente y hacia dónde se dirige. El ransomware requiere conectividad de red con servidores externos para recibir instrucciones de comando y control e intercambiar claves de descifrado. Tenga en cuenta que, si bien es útil, este método de detección puede generar falsos positivos y requiere tiempo de análisis. Los atacantes también pueden utilizar sitios legítimos para compartir archivos incluidos en la lista blanca de la empresa infectada, lo que les permite pasar desapercibidos.
- Examinar las llamadas de API. Los equipos de seguridad deben examinar las llamadas en API para saber qué archivos de comandos se ejecutan y si alguno es sospechoso. Por ejemplo, el software espía (spyware) y los registradores de teclas (keyloggers) utilizan GetWindowDC para capturar información de una ventana completa o IsDebuggerPresent para detectar si un depurador está activo en un sistema. Otra táctica de ransomware es utilizar GetTickCount para determinar cuánto tiempo ha estado encendido un sistema, en milisegundos. Un breve período de tiempo podría indicar que el ransomware está en una máquina virtual y, por lo tanto, no ejecutará ninguna acción maliciosa.
3. Detección basada en engaños
Las técnicas de detección de ransomware basadas en engaños implican engañar a los adversarios mientras buscan datos para cifrarlos o filtrarlos dentro del sistema de la organización. Los equipos de seguridad utilizan técnicas de engaño para engañar a atacantes malintencionados para que interactúen con activos falsos en la red. Los usuarios legítimos no tocarán estos activos falsos, lo que brinda a los equipos de seguridad un indicador confiable de actividad sospechosa. Los equipos de seguridad pueden desplegar señuelos, incluidos honeynets, honeypots y honey tokens, e ignorarlos a menos que se registre una alerta. Las siguientes son algunas características de este tipo de señuelos:
- Las honeynets son redes de honeypots y honey tokens.
- Los honeypots son cualquier sistema conectado a la red intencionalmente vulnerable, como una computadora, una máquina virtual, una aplicación, un repositorio de archivos o un servidor.
- Los honey tokens son archivos individuales, direcciones de correo electrónico o cuentas de usuario que se utilizan para atraer atacantes.
Adopte un enfoque anti-ransomware en capas
El uso conjunto de múltiples técnicas de detección de ransomware ofrece a los equipos de seguridad una mejor oportunidad de detectar y monitorear un ataque de ransomware — y aislarlo antes de que llegue demasiado lejos en un sistema.
"A medida que los ataques modernos se vuelven complejos y fácilmente eluden las técnicas básicas, es evidente que ninguna técnica puede abordar todos los casos de uso", dijo de Boer.
Las organizaciones necesitan hacer más que simplemente instalar y ejecutar software antivirus. Además de una combinación de técnicas de detección de ransomware, los equipos de seguridad también deben buscar ataques que entren por la puerta principal. Las amenazas internas, como la reutilización de credenciales y la ingeniería social, pueden permitir que los adversarios accedan a un sistema.
Las organizaciones deben tomarse en serio el ransomware. Los pagos de ransomware casi se han duplicado en 2023 con respecto a 2022, hasta más de 1,5 millones de dólares desde 812.380 dólares, según el informe "Estado del ransomware 2023" de Sophos.
Utilice las mejores prácticas para capacitar a los empleados sobre los riesgos del ransomware y enseñe a los profesionales de seguridad de la información el marco Mitre ATT&CK, que incluye información sobre tácticas, técnicas y procedimientos del adversario. Con este conocimiento, los equipos de seguridad pueden determinar las fortalezas y debilidades de la organización y mejorar la seguridad del sistema en consecuencia.