Blog B-SECURE

Medidas preventivas ante una amenaza de Ransomware

De acuerdo con el reporte global de amenazas de Crowdstrike correspondiente al año 2021, una de las principales estrategias de organizaciones y grupos cibercriminales continúa siendo el uso de ransomware, utilizando herramientas gratuitas de ofuscación de código, ransomware as a service y dedicando en algunos casos, recursos al desarrollo de este tipo de malware para dirigir sus ataques a sectores específicos.

Es claro que uno de los objetivos principales de una amenaza de ransomware, independiente de su familia, es cifrar los archivos en los principales directorios donde suele almacenarse información personal y sensible con el fin de pedir un rescate a cambio de estos archivos, que primordialmente son todos aquellos contenidos en los directorios de usuario. A continuación, algunos de ellos:

  • Contactos
  • Escritorio
  • Descargas
  • Vínculos
  • Documentos
  • Favoritos
  • Imágenes
  • Juegos guardados
  • Música
  • Objetos 3D
  • Videos

Sabemos que actualmente existen diferentes herramientas y soluciones en el mercado que presentan una protección efectiva contra varias familias de ransomware. Sin embargo, desde el centro de operaciones de seguridad de B-SECURE planteamos una investigación con la hipótesis de que, mediante la implementación de algunas medidas preventivas en las estaciones de trabajo y servidores de una compañía, es posible lograr una disminución considerable en el riesgo al que se enfrenta un usuario final ante una amenaza de ransomware, primordialmente la pérdida de información sensible y archivos personales debido al cifrado de los datos y la exfiltración de la información.

A modo general, un ransomware independiente sea su familia utiliza un algoritmo que recorre diferentes directorios cifrando los archivos contenidos en ellos, exceptuando aquellos archivos que forman parte del sistema operativo. Tras analizar múltiples reportes de análisis de Malware basados en Sandboxing obtenidos del sitio web app.any.run, se evidenció que los directorios que afectaban las muestras de diferentes familias de malware eran muy similares, lo cual nos llevó a iniciar esta investigación.

La investigación tomó como base 47 muestras de ransomware del sitio app.any.run de las familias Lockbit, Sodinokibi, Wannacry, Ryuk y Cerber y buscaba medir la efectividad de 3 medidas preventivas al ejecutar las diferentes muestras de Malware. Las medidas planteadas son las siguientes:

1. Creación de un directorio con nombre de sistema operativo dentro de cada directorio de usuario:

Esta medida consiste, por ejemplo, en anidar dentro de cada directorio de usuario, como puede ser el Escritorio, las Descargas, las Imágenes, etc., un directorio con nombre de sistema operativo, como lo puede ser “boot”, “Windows”, “System”, etc. A continuación, se muestra un ejemplo para el directorio de “Desktop”

2. Creación de una partición de disco con los directorios de usuario dentro:

Esta medida consiste en particionar el disco de los usuarios, y en su interior de la partición en la cual no se encuentra el sistema operativo, crear los directorios de usuario antes mencionados como lo son por ejemplo Mis Documentos, Escritorio, Descargas, etc. A continuación, se muestra cómo sería la implementación de esta medida en una partición E:

3. Uso de una carpeta con nombre de sistema operativo dentro de una partición:

Esta medida fusiona las dos anteriores y consiste en crear una partición de disco secundaria en el equipo de cada usuario para dentro, crear un directorio con nombre de sistema operativo como lo puede ser “boot”, “Windows”, “System” y en su interior crear los directorios de usuario antes mencionados, como lo son por ejemplo Mis Documentos, Escritorio, Descargas, etc. A continuación, se muestra cómo sería la implementación esta medida en una partición E:

El proceso de verificación de la efectividad de las medidas preventivas mencionadas anteriormente para cada una de las muestras fue el siguiente:

  • Se implementó en una máquina las 3 medidas preventivas y en los directorios creados se pusieron archivos de prueba.
  • Se ejecutaron las muestras de malware en una máquina de prueba.
  • Se verificó si los archivos habían sido o no cifrados por el ransomware en los directorios correspondientes a cada medida preventiva.

Los resultados obtenidos de la investigación, medidos en términos de efectividad de las medidas contra el total de las muestras, son los siguientes:

Los resultados obtenidos de la investigación, medidos en términos de efectividad discriminados por familia de ransomware, son los siguientes:

EFECTIVIDAD DE MEDIDAS POR FAMILIA

LOCKBIT

SODINOKIBI

WANNACRY

RYUK

CERBER

Sin medidas preventivas.

0%

0%

0%

70%

70%

Creación de una partición de disco con los directorios de usuario dentro.

100%

0%

100%

0%

70%

Creación de un directorio con nombre “boot” o “windows” dentro de cada directorio de usuario.

100%

100%

0%

90%

70%

Uso de una carpeta con nombre “windows” dentro de una partición secundaria.

100%

100%

100%

20%

100%

Uso de una carpeta con nombre “boot” dentro de una partición secundaria.

100%

100%

100%

90%

100%

 

A continuación, se presenta una breve explicación de los resultados:

  • Aún sin tomar ninguna medida, existe una probabilidad del 29,7% de no ver afectados los archivos en directorios como el escritorio y Descargas al ejecutar un ransomware. Esto en gran medida debido a que las muestras de ransomware de las familias Ryuk y Cerber analizadas no tenían como objetivo principal cifrar los archivos contenidos en los directorios de usuario.

  • De acuerdo con los resultados, el tener una partición de disco y almacenar allí archivos, descargas, imágenes, etc. no puede ser considerada una medida de seguridad efectiva para proteger la información de la organización, ya que existe una probabilidad del 31,9% de no ver afectados los archivos contenidos en otras particiones al ejecutar un ransomware.

  • Respecto a tener un directorio con nombre de sistema operativo (boot, Windows, system, ect.) dentro de cada directorio de usuario (Escritorio, Mis Documentos, Descargas, etc.), la medida demostró tener una efectividad del 70,2%, siendo efectiva contra la mayoría de las familias a excepción de Wannacry.

  • Finalmente, en relación con usar una carpeta con nombre de sistema operativo dentro de una partición secundaria para almacenar allí los archivos de Escritorio, descargas, documentos, etc., los resultados muestran una alta efectividad a pesar de que varían un poco de acuerdo al nombre del directorio. El crear un directorio en la partición cifrada con nombre “Windows” tuvo una efectividad del 82,9%, siendo menos efectiva con muestras de la familia Ryuk, comparado con una efectividad del 97,8% obtenida al utilizar una partición con el nombre de “boot” donde una única muestra de la familia Ryuk logró cifrar los archivos contenidos en el directorio.

Los resultados obtenidos evidencian que aún con un bajo presupuesto de seguridad, el implementar una estructura de directorios diferente en la compañía puede tener un impacto significativo en la disminución de riesgo ante una amenaza de ransomware. Sabemos que la implementación de las medidas preventivas mostradas en la presente investigación puede llegar a ser compleja, sin embargo, los resultados presentados reflejan una debilidad en el algoritmo de cifrado de diferentes familias de ransomware que puede ser debida a un sesgo cognitivo de los desarrolladores donde se generaliza la conducta de sus víctimas o simplemente a la facilidad en la programación del algoritmo, y que nos permite adoptar medidas de seguridad poco utilizadas y de acuerdo al entorno de cada organización para así reducir el riesgo de compromiso de información sensible.

 

Fuentes:

  • https://go.crowdstrike.com/rs/281-OBQ-266/images/Report2021GTR.pdf
  • https://app.any.run/