El proveedor de seguridad cibernética WithSecure está probando una tecnología recientemente desarrollada que supuestamente hace que un entorno de prueba de sandbox sea más accesible y afirma que efectivamente encontró un “botón de deshacer” para el ransomware.
La firma con sede en Helsinki, que ya incorporó la función en su producto Elements Endpoint Protection para servidores, dice que la tecnología, denominada Monitor de actividad, puede deshacer rápida y fácilmente el daño que puede causar el malware.
En un contexto de seguridad cibernética, los sandboxes son entornos de prueba en los que los analistas e investigadores pueden ejecutar código desconocido para ver cómo afecta a los sistemas o datos, y si es dañino o no. Debido a que están aislados de otros sistemas en la red, esto se puede hacer con bastante seguridad.
Sin embargo, según el investigador principal de WithSecure, Broderick Aquilino, los entornos sandbox tradicionales, a pesar de su utilidad, conllevan algunas limitaciones. “El análisis proporcionado por un sandbox muestra una imagen muy completa del comportamiento del malware, pero consume muchos recursos, lo que limita su uso”, dijo. “Con Activity Monitor, superamos estas limitaciones al recrear las capacidades que brindan los sandboxes en lugar de cómo funcionan. Ahora podemos crear mecanismos de protección que pueden llevar estas capacidades a más organizaciones”.
En lugar de ejecutar código sospechoso en un entorno aislado, Activity Monitor primero crea copias de seguridad selectivas de sistemas y datos, y luego permite que el código se ejecute en él mientras monitorea la sesión.
Si, llegados a este punto, detecta cambios que podrían ser perjudiciales, bloquea los procesos, antes de utilizar sus copias de seguridad para revertir la sesión al estado en el que se encontraba antes de ejecutar el código.
Mediante este método, dijo WithSecure, puede ofrecer una herramienta que detiene eficazmente las infecciones de ransomware antes de que se ejecuten y cifren cualquier dato. Si es preciso, esto podría ahorrarles a las organizaciones miles de millones de libras.
Aquilino agregó: “Estábamos tratando de copiar el enfoque de sandbox que usamos en el backend, pero usarlo para los puntos finales. Un sandbox funciona al aislar el código no probado y permitir que se ejecute, lo que significa que puede comprender qué hará el código sospechoso sin poner en riesgo el medio ambiente. Sin embargo, esto lleva tiempo y, por lo tanto, no es muy adecuado para puntos finales porque el retraso será muy perceptible para los usuarios. Un usuario ejecutará un archivo y luego tendrá que esperar unos minutos para obtener el resultado.
“En este caso, tratamos de crear una caja de arena, pero en el punto final”, dijo. “Para abordar la mala experiencia del usuario, decidimos dejar que se ejecutara en el sistema, permitiéndole cifrar archivos y todo. Luego se nos ocurrió esta capacidad de reversión para que veamos que los archivos se cifran, luego hacemos la reversión automáticamente, sin ninguna interacción por parte del usuario, y eliminamos el archivo ejecutado”.
Para un usuario final que implemente el servicio, el Monitor de actividad se presentará como una función de activación en la oferta de Elements. Cuando se activa, descubrirá automáticamente todas las carpetas compartidas en el servidor de Windows del usuario (los administradores pueden optar por excluir las carpetas seleccionadas si lo desean) y luego trabajar en silencio en segundo plano. Efectivamente, dijo WithSecure, no lo notará a menos que un casillero de ransomware intente encriptar sus archivos.
El Monitor de actividad tiene dos modos, informe y normal. En el modo de informe, cuando se ejecuta el ransomware, se notificará al administrador, pero la capacidad de reversión no se activará automáticamente, una protección en curso para evitar que los cambios legítimos en los sistemas se reviertan accidentalmente. Si el modo normal está activado, el Monitor de actividad revertirá automáticamente el proceso de encriptación y el administrador verá dos notificaciones, primero que un ransomware ha intentado ejecutarse y, poco después, otro que dice que el sistema se ha restaurado con éxito a su estado anterior.
Sin embargo, Activity Monitor también puede tener potencial más allá de detener el ransomware en seco, dijo el vicepresidente de WithSecure Intelligence, Paolo Palumbo. “Este enfoque hace que las capacidades de detección muy poderosas sean más eficientes para que puedan usarse de nuevas maneras”, dijo.
“La eficiencia es muy importante para la seguridad para garantizar que nuestras soluciones brinden a las organizaciones una protección práctica y efectiva sin impedirles hacer su trabajo o lograr sus objetivos comerciales. Y a medida que desarrollamos nuevas aplicaciones y características utilizando esta tecnología, esperamos que permita mecanismos de defensa mejores y más eficientes para nuestros clientes”.
La investigación que produjo Activity Monitor fue apoyada por el proyecto TRUST aWARE, que tiene la misión de “proporcionar un marco de seguridad y privacidad digital holístico y efectivo que comprenda un conjunto de herramientas y servicios novedosos e integrados”, con fondos canalizados a través de la Unión Europea. (UE) Programa de investigación e innovación Horizonte 2020.