¿Cómo pueden proteger del ransomware las soluciones Endpoint ?  

Las diferentes técnicas de ransomware que se utilizan para usuarios y organizaciones muestran que la mejor manera de mitigar los riesgos provocados por esta amenaza es implementar varios niveles de protección en diferentes ámbitos de una red empresarial: desde el gateway a los endpoints, pasando por las redes y servidores.

Sólo este año, el FBI predijo que las pérdidas totales provocadas por el ransomware alcanzarán la friolera de los 1.000 millones de dólares. El negocio del ransomware está en auge, lo que anima a los ciberdelincuentes a ampliar sus metas, pasando de los consumidores a las empresas, independientemente de su tipo y tamaño.

Las pequeñas y medianas empresas (pymes), por lo general, tienen recursos limitados para permitirse contar con soluciones de seguridad robustas. Un estudio reveló que el 65% de las pymes en Estados Unidos no va a realizar importantes inversiones en materia de ransomware, incluyendo pagos de rescates o de seguridad. Mientras tanto, a pesar de las múltiples capas de seguridad, las redes corporativas aún pueden estar en peligro si las amenazas provienen de fuentes conocidas y fiables, como los socios de terceros, proveedores, contactos o de los propios empleados. Teniendo en cuenta estas difíciles situaciones, las soluciones para endpoints con unas buenas funciones de monitorización y control de aplicaciones pueden ser la última línea de defensa de las empresas contra el ransomware.

1Figura 1: Ataques de ransomware y sus correspondientes soluciones

Cómo funciona el análisis del comportamiento
La monitorización del comportamiento, que está presente en soluciones como Trend Micro ™ Smart Protection Suites y Trend Micro Worry-Free™ Services Advanced, rastrea y bloquea cualquier «anomalía», comportamiento inusual o modificación del sistema. Nos permite detectar y bloquear proactivamente la ejecución de ransomware y variantes de crypto-ransomware basadas en tácticas o capacidades conocidas y desconocidas, que incluyen el cifrado, la manipulación de procesos, caída de archivos, y la comunicación del servidor de comando y control (C&C), entre otros. También bloquea variantes de ransomware que roban información como  RAA ransomware y MIRCOP.

Una buena herramienta de supervisión del comportamiento puede eliminar cualquier programa que cifre los archivos almacenados en sistemas específicos. Si un programa que se ejecuta no es parte de una lista blanca o está asociado con ransomware, la herramienta debe ser capaz de impedir su ejecución inmediata.

2Figura 2: Captura de pantalla de varios tipos de archive que cifra ramsonware

Los scripts diseñados para eludir los escáneres de correo electrónico y confundir código malicioso, como los utilizados para distribuir ransomware LockyTeslaCrypt 4.0 (detectado como CRYPSTELA) y CryptoWall 3.0 (detectado como CRYPTWALL) también son detectados por una buena herramienta de vigilancia del comportamiento. Nuestra herramienta de monitorización del comportamiento detecta y bloquea el ransomware que utilizan VBScript (Cerber y variantes de Locky) y JScript (RAA).

Algunas familias ransomware eliminan las copias instantáneas –también conocidas como shadow copies-, lo que podría considerarse como un comportamiento normal en ciertos sistemas operativos, por lo que no será bloqueado inmediatamente. Sin embargo, una buena herramienta de monitorización de comportamiento debe ser capaz de etiquetar esta rutina como un indicador de una posible infección de ransomware.

Otras variantes de ransomware pueden abusar de programas, servicios o marcos legítimos, para evitar la detección y eliminación del sistema. Un ejemplo es PowerWare, que abusa de Windows PowerShell. Una buena herramienta de monitorización del comportamiento debe buscar hacia fuera y prevenir que se produzcan ciertos eventos, por ejemplo, cuando los programas / servicios / marcos normales se comportan de una manera maliciosa, o cuando se utilizan programas normales para el cifrado. También debe contar con una política que indique qué archivos no deben ser ejecutados en un sistema.

3Figura 3: Código que permite a PowerWare abusar de PowerShell

Los usuarios normales no pueden ser alertados inmediatamente de la infección de ransomware, especialmente cuando se inyecta el código malicioso en un proceso normal, como Explorer.exe. La monitorización del comportamiento puede ayudar en estos casos; sin embargo, en comportamientos como rutinas de inyección y hooking, se pueden marcar y, en consecuencia, bloquear.

¿Qué es el control de aplicaciones?
Además de la supervisión de comportamiento, otra buena función de las soluciones para endpoint es el control de aplicaciones (también conocido como listas blancas de aplicaciones), ya que evita que el ransomware se ejecute en los sistemas y posiblemente cause un mayor daño a las copias de seguridad, etc. De este modo, permite que sólamente las rutinas / archivos / procesos no malintencionados se ejecuten en los sistemas.

4Figura 4: Trend Micro Application Control previene la ejecución de JIGSAW

Los administradores de TI establecen la lista de los programas / archivos / procesos que pueden ejecutarse en los sistemas a través del control de aplicaciones. Pueden crear listas basadas en un inventario de sus endpoints existentes por categoría, fabricante, app u otros atributos dinámicos de reputación. Una vez que se permite una app, la ejecución de sus sucesivas versiones / actualizaciones también serán permitidas. Los administradores de TI pueden utilizar una amplia lista de apps seguras por defecto, que van desde los archivos del sistema, las apps para el desktop y apps móviles, entre otras.

Además de las listas blancas de apps, un característica del buen control de aplicaciones puede rechazar la ejecución de programas / archivos / procesos en determinadas rutas de archivos. Los administradores de TI pueden crear reglas de bloqueo para directorios específicos. Algunas variantes de ransomware normalmente se reducen a copias en directorios %Temp%  y %User Temp% directorios – rutas que utiliza la mayoría del malware. El ransomware como JIGSAW utiliza las rutas de archivo, %Application Data% y %AppDataLocal%. Los administradores de TI pueden crear reglas de bloqueo para variantes específicas, conociendo los caminos que se utilizan normalmente.

5Figura 5: Localizaciones específicas que Trend Micro Application Control puede bloquear

No hay bala en la recámara
Ante tantas diferentes vías por los cuales el ransomware puede llegar a los sistemas, las organizaciones necesitan una defensa multicapa que pueda proteger endpoints, redes y servidores. La monitorización del comportamiento y el control de aplicaciones son capas de protección adicionales que, en caso de ransomware se localiza a través del nivel del gateway.  Una vez que las amenazas alcanzan el nivel del endpoint y comienzan a cifrar archivos (incluyendo datos cruciales de la empresa), la recuperación sin ninguna copia de seguridad sería muy difícil. La situación empeora cuando el ransomware elimina las copias instantáneas o muestra otras rutinas más allá de cifrado, dejando a las empresas sin más remedio que pagar.

Trend Micro ™ Deep Discovery ™ Email Inspector puede detectar y bloquear ransomware y correos electrónicos de spear phishing, incluyendo aquellos con archivos adjuntos maliciosos, incluso de llegar a los buzones de los usuarios. Su tecnología de sandbox personalizado también puede detectar el ransomware que utiliza macros maliciosas. Las empresas también pueden emplear InterScan ™ Web Security, que escanea en busca de amenazas zero-day y vulnerabilidades del navegador. Las funciones de reputación Web e IP en estas soluciones pueden mitigar la infección por ransomware a nivel del email y del gateway.

Para la protección de la red, Trend Micro Deep Discovery Inspector puede descubrir ransomware en las redes a través de su sandbox personalizado. Detecta comportamientos de cifrado, modificaciones de los procesos de restauración de copias de seguridad y modificaciones en masa de archivos. También puede detectar emulación de scripts, ataques zero-day y archivos maliciosos dirigidos protegidos con contraseña y comúnmente asociados con ransomware. Trend Micro Deep Security™ detiene el ransomware antes de que llegue a la empresa, ya sea en servidores físicos, virtuales o cloud. Asegura sistemas y servidores de las vulnerabilidades utilizadas por los kits de exploits que potencian el ransomware.

Para las pequeñas empresas, Trend Micro Worry-Free Services Advanced ofrece seguridad en el gateway de correo electrónico basado en cloud a través de Hosted Email Security. Su protección de endpoints también proporciona varias funcionalidades como monitorización del comportamiento y reputación Web en tiempo real con el fin de detectar y bloquear el ransomware.

Los usuarios también pueden utilizar nuestras herramientas gratuitas tales como Trend Micro Lock Screen Ransomware Tool, diseñada para detectar y eliminar ransomware screen-locker, y Trend Micro Crypto-Ransomware File Decryptor Tool,  que puede descifrar ciertas variantes de crypto-ransomware.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.