Instantáneas, o cómo aprovechar los trucos del ransomware
El cibercrimen cada vez más recurre a la publicidad maliciosa como vía para atacar a usuarios desprevenidos. Al fin y al cabo, el llamado ‘malvertising’ es capaz de colarse en las computadoras de cualquiera, incluso de esas víctimas que, como los trabajadores de una compañía, han recibido formación para evitar las amenazas de la Red.
Desgraciadamente, no existen muchas maneras de recuperar los archivos que ‘secuestra’ un ataque de ransomware sin pagar el rescate pertinente. Si tenemos suerte (¡mucha suerte!), podemos utilizar alguna herramienta gratuita para recuperarlos, aunque otra opción es la de restaurarlos desde una copia de seguridad. Sin embargo, no todo el mundo hace copias de seguridad, aunque Windows dispone de una funcionalidad muy útil conocida como Instantáneas (Shadow Copies), que en realidad es una especie de copia de seguridad de los archivos del sistema. Esto es algo que los ciberdelincuentes aprendieron hace tiempo, y de hecho, a los pocos meses de que este tipo de ataque se popularizase, sus nuevas creaciones empezaron a borrar las instantáneas de los archivos de sus víctimas como paso previo a cifrar su información.
Hay una serie de tecnologías que se pueden utilizar para neutralizar los ataques de ransomware. La mayoría de ellas son prácticamente inútiles, como los archivos de identificadores o los análisis heurísticos (de hecho, son lo primero que los creadores de malware comprueban antes de distribuir sus nuevas creaciones), mientras que otras pueden servir de algo en alguna ocasión. Sin embargo, ni siquiera la combinación de todas ellas garantiza la protección contra todos los ataques.
Hace más de dos años decidimos utilizar una estrategia simple pero efectiva: si algún proceso intenta borrar las instantáneas del sistema es muy probable que sea malware (no siempre), y en ese caso es casi seguro que sea ransomware. Si a esto le añadimos el resto de información de la que disponemos, podemos determinar si se trata de un nuevo malware o no. Hoy en día, la mayoría de familias de ransomware borran las instantáneas del sistema.
Podrían dejar de hacerlo, pero entonces la gente dejaría de pagar los rescates ya que podrían recuperar sus archivos de forma gratuita. Me he detenido a analizar cuantas infecciones conseguimos neutralizar gracias a esta estrategia, desde PandaLabs, nuestro laboratorio antimalware. La deducción lógica es que debería tratarse de una cifra que creciese exponencialmente, ya que cada vez hay más ataques de ransomware y todos ellos emplean esta técnica. Pues bien, esta es la gráfica que muestra los ataques que hemos neutralizado en los últimos 12 meses empleando este enfoque:
Sí, justo lo contrario de lo que la mayoría de nosotros pensaríamos. ¿Cómo es posible? Bueno, hay una explicación sencilla: utilizamos esta estrategia como último recurso para detener los ataques cuando todo el resto de capas de seguridad han fallado. De hecho, la utilizamos internamente para identificar aquellos ataques que han conseguido esquivar el resto de medidas de seguridad para poder analizarlos en detalle y mejorar nuestras protecciones. También la utilizamos para medir lo bien o mal que neutralizamos el ransomware: cuanta más pequeña es la cifra, mejor están funcionando el resto de tecnologías.