skip to Main Content

El ransomware és un malware que altera els Fitxers amb informació sensible

Què és el ransomware i com ens afecta?

El ransomware és un malware que altera els fitxers amb informació sensible, xifrant per després demanar un “rescat” econòmic per recuperar aquesta informació. Durant l’any 2015, el ransomware va causar pèrdues de 350 milions de dòlars. Encara més alarmant és el creixement durant aquest 2016 que, només durant el seu primer trimestre, va causar pèrdues de 206 milions de dòlars.

Aquest tipus d’amenaça té un patró diferent dels malwares tradicionals. En primer lloc, no roba la informació de les víctimes, sinó xifra les dades per impedir el seu accés. En segon lloc, el malware no amaga les seves accions sinó que bloqueja l’equip per sol·licitar el rescat a la víctima. Finalment, el rescat se sol·licita en bitcoins, una moneda criptogràfica que no pot ser rastrejada.

 

  • Formes d’infecció de Ransomware

A nivell més tècnic, el ransomware té diferents vectors d’infecció, per exemple, atacs de phishing, enginyeria social, macros en documents, vulnerabilitats en aplicacions i serveis web (els servidors JBoss desactualitzats estan sent molt afectats).

Una vegada un client ha estat infectat, el malware intenta xifrar tot el possible al seu abast, passant pel disc dur de la víctima, saltant per unitats de xarxa i carpetes compartides. Una segmentació mal realitzada dels clients d’una companyia pot provocar una encriptació massiva de dades. El malware, xifra les dades i emmagatzema una clau pública en l’equip infectat i una clau privada en els servidors infectants. El malware sempre demanarà el rescat per recuperar la clau privada, ja que sense les dues claus, tant pública com privada, és impossible desxifrar les dades.

 

  • Ransomware: Una amenaça amb milers de variants i revisions

El ransomware és una amenaça bastant simple de produir. Però la component més alarmant és que no hem de produir-lo, per centenars de dòlars es pot llogar un kit a la DarkWeb i el botnet o els servidors infectats per enviar-lo. I et donen igualment possibilitats de cobrar, d’una manera anònima. A causa de la combinació de la rendibilitat que suposa per a l’atacant juntament amb la facilitat de desenvolupar l’amenaça, el ransomware suposa un veritable repte per als departaments de TI i per a les companyies de seguretat.

L’amenaça de ransomware no només es limita a dispositius Windows. S’observen versions per a Linux, Android i fins i tot MacOS. De fet, segons IDC, els dispositius Android seran punt de mira per tenir una quota de mercat molt elevada.

 

  • Tinc les dades encriptades. Les puc recuperar?

Un cop el malware infecta l’equip xifra certs tipus de fitxers (imatges, documents, vídeos, etc.) per a impedir el seu accés. El malware avisa de les seves accions mitjançant un avís en pantalla completa sol·licitant un pagament per la recuperació d’aquestes dades. I, encara que hi ha alguns fabricants que han pogut interceptar claus d’encriptació, per ransomware més senzill, o transmeses en els canals de comunicació entre grups de ciber-criminals, en la gran majoria dels casos no hi ha possibilitat de desxifrar les dades.

 

  • He de pagar el rescat que m’indica?

Lamentablement, el malware elimina normalment també les còpies shadow per assegurar-se que no es puguin restaurar. L’única manera segura de recuperar la informació xifrada és a partir d’una còpia de seguretat neta.

El pagament del rescat de les dades en cap cas ens assegura que les dades siguin retornats. Si el C & C del malware no rep la clau de xifrat de les nostres dades, serà impossible recuperar-les de nou. I tot i així, mai és cert que el ransomware ha tret la víctima o s’han deixat portes posteriors per a futures explotacions de la infecció.

 

  • Com protegir-se del ransomware?

Per minimitzar el risc d’infecció per qualsevol amenaça de malware, la primera prioritat ha de ser mantenir els equips sempre amb els últims pegats de seguretat. Des IEAISA recomanem sempre aquest tipus de pràctiques i sobretot, donar un tracte molt especial a aplicacions que estan en el punt de mira d’atacants com Adobe Flash i Java. Com a exemple, el 2015 van ser detectades 314 vulnerabilitats en seguretat en Adobe Flash, una mica menys d’una per día.

Dades protegides amb una solució moderna. Les 5 passes per protegir-nos de ransomware

Al observar el nombre de variants alliberades diàriament, hem d’apostar en la protecció de malware desconegut. Resulta evident disposar d’una eina amb un potent motor heurístic que permeti detectar patrons maliciosos.

Hem contactat amb IEAISA com a experts de seguretat i ells confien en Bitdefender com a solució per a protecció contra amenaces ransomware. Bitdefender incorpora diverses capes de protecció que funcionen de manera independent. En combinació, formen un dels escuts antimalware més poderosos del mercat. D’una banda, disposa d’una detecció en funció de signatures i comportament per a fitxers i processos i de l’altra, d’un escut per evitar que el ransomware passi nostres defensas.

1. Les primeres capes ¿detecció per l’exploit kit usado

Com ja hem vist, la component essencial del ransomware és l’ús dels exploit kits. Bitdefender no només detecta l’exploit kit per signatures específiques o genèriques, sino també per la seva tecnologia Anti-Exploit que busca i bloqueja amenaces desconegudes 0-Day.2.

 

2. La anàlisi comportamental

Bitdefender té rutines d’anàlisi comportamental des de l’any 2003. En aquests 13 anys aquest mòdul patentat, B-HAVE, s’ha optimitzat i perfeccionat continuadament, arribant a tenir més de 300 rutines d’anàlisi comportamental. Cada dia Bitdefender està parant, segons les seves dades, més de 28.500 samples de ransomware desconegut.

 

3. La intercepció del procés d’encriptació a la ejecución

Un dels diferenciadors de Bitdefender és la intercepció dels processos en la fase d’execució i dels esdeveniments en memòria. Aquestes tecnologies li permeten d’una banda detectar els processos sospitosos en la fase d’iniciar-se, i d’altra banda aturar la infecció de fonts tipus Java scripts o objectes web infectats durant la navegació.

 

4. Prevenció amb la vacuna anti-ransomware

Una de les tècniques innovadores emprades per Bitdefender és la vacuna anti-ransomware que s’aprofita de la comprovació del ransomware si està present ja o no a la màquina. Amb dues tècniques innovadores Bitdefender aconsegueix “enganyar” l’atac i aturar-lo de manera proactiva.

 

5. Prevenció amb la application whitelisting

Aquesta és una tècnica de prevenció basada en les bones pràctiques: Bitdefender permet als administradors de seguretat fer l’inventari del programari instal·lat i aprovar el que és legítim a executar-se. Un cop definida la llista, Bitdefender atura la instal·lació / execució de qualsevol programari desconegut, inclosos els processos del ransomware. És una eina molt potent i fàcil d’usar.

Bitdefender actualment gaudeix de la major taxa de detecció, mentre que la mitjana de mercat segueix baixant:

Des de setembre de 2015, Bitdefender ha estès la seva tecnologia heurística patentada, anomenada Advanced Threat Control (ATC), per detectar també ransomware prèviament desconegut. La tecnologia utilitza models de comportament avançats per trobar ransomware, encara que no s’ha signat.

Bitdefender ATC no necessita firmes ja que descobreix ransomware a través del seu comportament. Per determinar si un procés és ransomware abans que arribi a afectar, ATC vetlla per tots els processos actius i marca qualsevol comportament sospitós amb una puntuació. Si el procés o fitxer supera el llindar, es prenen les mesures necesarias.

 

Per a més informació pot contactar amb: www.ieaisa.es

Back To Top