En los últimos meses, las olas de ataques de ransomware han golpeado al mundo, interrumpiendo no sólo las empresas, sino también servicios vitales como la atención hospitalaria, la infraestructura energética y las telecomunicaciones. Lo que significa que la investigación que Andrea Continella y su equipo han llevado a cabo recientemente no podría ser mejor programada: Una herramienta que detecta el ransomware de forma automática, casi al instante, y restaura el sistema desde copias de seguridad antes de que los hackers puedan bloquearla completamente.
Llamado ShieldFS, la innovación del equipo no es una amplia plataforma antivirus, pero eso es por diseño. En su lugar, es una característica de destino que escanea sólo para ataques ransomware. Al mantener el alcance limitado, el proyecto podría centrarse en la identificación de los comportamientos criptográficos únicos de ransomware, lo que permite a ShieldFS detectar no sólo los tipos conocidos, sino también cualquier nuevo ataque que actúe de forma similar a un ransomware. El grupo, con sede en Politecnico di Milano en Italia, presentará el ShieldFS en la conferencia de seguridad Black Hat en Las Vegas el miércoles.
“La contribución de la investigación es un conjunto de indicadores que hemos desarrollado que se pueden utilizar para contar de manera muy eficiente si un proceso es ransomware o si es un proceso benigno”, dice Stefano Zanero, un investigador de seguridad de sistemas que trabajó en el proyecto. Al centrarse en la detección de la encriptación en sí, en lugar de simplemente la catalogación de tipos específicos de ransomware a buscar, ShieldFS puede preemptar versiones anteriormente no vistas, un rasgo valioso cuando incluso esquemas de ransomware bien conocido puede volverse mucho más agresivo, aparentemente durante la noche.
Guardia a la sombra
Los investigadores trabajaron con tipos de ransomware comunes, como CryptoLocker y TeslaCrypt, que atacan un sistema de la manera típica-rastreando a través del directorio, y cifrando cada archivo. Y en Black Hat, el grupo demostrará la defensa de ShieldFS contra una infección de WannaCry, el tipo de ransomware que aumentó en mayo, causando grandes trastornos.
Cuando ShieldFS detecta un nuevo programa sospechoso, entra en una fase de observación para determinar si ese programa es ransomware. Durante este tiempo, que los investigadores llaman “sombra”, ShieldFS comienza a mantener un registro de todo lo que hace el programa intrusivo, y cada archivo que accede. Si ShieldFS llega a la conclusión de que el programa es malicioso, bloqueará el código de ejecución y restaurará automáticamente todo lo que el ransomware haya tocado utilizando archivos duplicados de extensas copias de seguridad. Si ShieldFS tiene un falso positivo, los investigadores señalan que el programa no causará daño colateral; sólo deshace algunos de los procesos que intentó iniciar. Puede autorizar cualquier herramienta que se encuentre sospechosa y comenzar de nuevo.
A través de la construcción de ShieldFS, los investigadores encontraron que ransomware tradicional tiene único comportamiento cryptográfico en comparación con otros programas que se ejecutan en un sistema. “Siempre sucederá que el malware abra un archivo, lo reemplace precisamente en la misma posición con contenido completamente diferente, y este contenido pasará por la memoria con una huella digital y ciertas características que son inevitables”, dice Zanero. “Ningún programa normal muestra estas características, por lo que podemos identificar con seguridad ese programa como ransomware”.
Espacio para crecer
La mayor limitación de ShieldFS es que sólo protege contra ransomware “tradicionales”, del tipo que rastrea el directorio de una computadora y cifra cada archivo uno por uno. No detecta variaciones que se centran en bloquear a las personas de sus sistemas, un enfoque en el que todos sus archivos estarían intactos y accesibles si pudiera llegar a ellos. En ese caso, las víctimas pagan un rescate para recuperar el acceso, no para recibir una clave de descifrado literal. Por ejemplo, ShieldFS no protegería actualmente contra la familia Petya de ransomware, una versión de la cual devastó Ucrania y algunos otros países a finales de junio. La gran mayoría de los ataques de ransomware son del tipo tradicional que ShieldFS puede atacar, pero las variantes han estado detrás de algunos brotes de alto perfil. Zanero dice que sería posible desarrollar y agregar métodos de detección para estos otros tipos de ransomware también.
La herramienta también está teóricamente en riesgo de introducir las mismas preocupaciones de seguridad inherentes a otros tipos de antivirus. El programa necesita amplios privilegios para escanear todos los datos y la actividad en un sistema, y ??los hackers pueden abusar de ese estado de confianza para obtener acceso a datos en un sistema o distribuir código malicioso. Los investigadores dicen que intencionalmente crearon ShieldFS para requerir la cantidad mínima de acceso al sistema posible. Sólo el componente de detección necesita este nivel de confianza profundo: el cálculo y el análisis pueden funcionar como un programa normal que tiene una influencia limitada del sistema.
Los investigadores dicen que mientras que ShieldFS puede analizar eficazmente el malware en este punto, sigue siendo sólo un producto de investigación y no está listo para la implementación del mundo real. Los grupos planean lanzar el código, sin embargo, para que otros puedan inspirarse en proyectos relacionados o trabajar en su refinamiento. Eventualmente, la creación de ransomware que puede evadir ShieldFS, o escáneres como él, puede resultar más problemático y no vale la pena.
Defensas como el parcheo de software pueden minimizar el riesgo de un sistema de ser infectado con ransomware, y mantener copias de seguridad de rutina es una simple solución de propósito general cuando se infectan. Pero la reciente erupción de las epidemias globales de ransomware de alto perfil ha demostrado que estas precauciones por sí solas no son suficientes para eliminar el daño de ransomware en todos los casos. Ahí es donde entra una herramienta como ShieldFS.
