La mayoría de las muestras de ransomware operan de forma similar: generan claves para algoritmos de cifrado simétrico y cifran con ellas todos o una selección de los archivos de la víctima, corrompiendo todos los datos. ¿Cómo detectar ransomware y detenerlo antes de que cifre los contenidos de un equipo completo?
Cifrado intermitente para evadir la detección estadística del ransomware … Por
Por Gonzalo Álvarez
Director I+D en Funditec
Por definición, todo archivo cifrado de forma criptográficamente segura aparecerá como aleatorio ante los análisis estadísticos. Por lo tanto, el problema de la detección de ransomware puede reducirse (de forma algo simplista) al problema de detectar la escritura de datos aleatorios en el sistema de archivos. Si el análisis estadístico indica que un archivo ha sido cifrado, el programa antimalware bloqueará el proceso para que no siga modificando otros archivos.
A finales de agosto de 2021 apareció Lockfile, un ransomware que funciona de forma diferente: en lugar de cifrar todo el archivo, cifra intermitentemente 16 bytes cada vez. Como resultado, un archivo de tipo documento de texto sigue siendo parcialmente legible y se parece estadísticamente al original. Para los archivos cuya estructura es importante (como un pdf), corromperá el archivo y lo hará inutilizable, aunque estadísticamente siga pareciéndose al original.
La mayoría de las muestras de ransomware operan de forma similar: generan claves para algoritmos de cifrado simétrico y cifran con ellas todos o una selección de los archivos de la víctima, corrompiendo todos los datos. ¿Cómo detectar ransomware y detenerlo antes de que cifre los contenidos de un equipo completo?
Este truco puede tener éxito contra el software de detección de ransomware basado en la inspección del contenido utilizando el análisis estadístico para detectar el cifrado. La siguiente comparación visual creada por Sophos muestra el mismo documento de texto cifrado por DarkSide, un ransomware convencional, y por el novedoso LockFile:
Como puede verse, el documento de texto cifrado por LockFile se parece mucho estadísticamente al original y seguramente pasaría los tests de detección estadísticos.
Esta nueva vuelta de tuerca al ransomware viene a evidenciar cómo el entorno de las ciberamenazas está en perpetuo cambio. No importa cuánto avancen los sistemas de prevención, detección y respuesta, los ciberdelincuentes buscarán nuevas formas de evadir las protecciones. Así que, no olvides mantener copias de seguridad de tus archivos más valiosos para evitar pérdidas de datos ante el ransomware o ante cualquier otra amenaza.