La desventaja de 'depurar' el ransomware

El ransomware, el flagelo de la seguridad del mundo digital moderno, se vuelve cada vez más peligroso. Fueron educar a los usuarios sobre qué hacer, pero es difícil mantenerse a la vanguardia del cifrado asesino esparcido abundantemente alrededor de capas de pistas digitales ofuscadas que ocultan las acciones de los malos y sus archivos. Mientras tanto, el peaje entierra negocios y ata las manos de legisladores que suplican una solución. Pero si abrimos las llaves del ransomware, ¿no ayudaremos a los malos a mejorar la próxima vez?

A principios de este mes en un digital taller en el corazón de la República Checa, los desarrolladores de descifradores de ransomware compartieron con los asistentes cómo descifraron parte del código y recuperaron los datos de los usuarios. A través de un análisis cuidadoso, a veces encontraban errores en las implementaciones u operaciones de los delincuentes, lo que les permitía revertir el proceso de encriptación y restaurar los archivos codificados.

Pero cuando los buenos anuncian la herramienta al público, los estafadores rápidamente reconfiguran sus productos con tácticas que son 'más completamente imposibles de piratear', evitando que los investigadores abran el siguiente lote de archivos. Básicamente, los investigadores están depurando los productos de los estafadores en un ciclo no virtuoso.

Así que no lo estamos arreglando, lo estamos persiguiendo, reaccionando, cubriendo el daño. Pero cualquier éxito puede ser transitorio, ya que la recuperación de la mayor parte de la devastación sigue siendo imposible para las pequeñas empresas que sintieron que tuvo que pagar para permanecer en el negocio.

Los gobiernos, a pesar de sus buenas intenciones, también son reactivos. Pueden recomendar, ayudar con el proceso de respuesta a incidentes y, tal vez, enviar su apoyo, pero eso también es reactivo y ofrece poco consuelo a un negocio recién destruido.

Así que se cambian a seguimiento de las finanzas. Pero los malos suelen ser buenos para esconderse: pueden permitirse todas las buenas herramientas pagando el gran dinero que acaban de robar. Y, francamente, pueden saber más que muchos actores gubernamentales. Es como perseguir un coche de carreras de F1 con un caballo razonablemente rápido.

De cualquier manera, los investigadores deben ser más que probadores beta de los malos.

No puede simplemente detectar las herramientas de los ciberdelincuentes y bloquearlas, ya que pueden aprovechar las herramientas estándar del sistema utilizadas para el funcionamiento diario de su computadora; incluso pueden enviarse como parte del sistema operativo. Las herramientas de código abierto son el pegamento que mantiene unido todo el sistema, pero también pueden ser el pegamento que mantiene unido el proceso de encriptación de ransomware que bloquea el sistema.

Entonces te queda determinar cómo actúan los criminales. Tener un martillo en la mano en un taller mecánico no es malo hasta que golpeas una ventana para romperlo. Del mismo modo, la detección de una acción sospechosa puede detectar el comienzo de un ataque. Pero hacer esto a la velocidad de las nuevas variantes de ataque es difícil.

Aquí en Europa hay un esfuerzo significativo para convocar a los gobiernos de varios países para compartir información sobre las tendencias de ransomware, pero los grupos que lideran esto no son directamente las fuerzas del orden; solo pueden esperar que las jurisdicciones encargadas de hacer cumplir la ley actúen rápidamente. Pero eso no sucede a la velocidad del malware.

La nube definitivamente ha ayudado, ya que las soluciones de seguridad pueden aprovecharla para impulsar escenarios previos al ataque actualizados al minuto que su computadora debe activar para detener un ataque.

Y reduce la vida útil de las herramientas y técnicas efectivas de ransomware para que no ganen mucho dinero. A los malos les cuesta dinero desarrollar un buen ransomware, y quieren vengarse. Si sus cargas útiles solo funcionan una o dos veces, eso no paga. Si no paga, harán otra cosa que sí lo haga, y tal vez las organizaciones puedan volver al negocio.

Copia de seguridad de la unidad

Un consejo profesional de la conferencia: haga una copia de seguridad de sus datos cifrados si lo ataca un ransomware. En caso de que finalmente se lance un descifrador, es posible que aún tenga la posibilidad de restaurar archivos perdidos en el futuro. No es que te ayude en este momento.

El mejor momento para hacer una copia de seguridad es, por supuesto, cuando no está siendo extorsionado por ransomware, pero nunca es demasiado tarde para comenzar. Aunque en este momento tiene más de una década, la guía de WeLiveSecurity para Conceptos básicos de copia de seguridad todavía proporciona información práctica proporciona información práctica sobre cómo abordar el problema y desarrollar una solución que funcione para su hogar o pequeña empresa.

ESET frente a ransomware

En caso de que se pregunte cuál es la posición de ESET en la creación de descifradores de ransomware, adoptamos un enfoque mixto: queremos proteger a las personas contra el ransomware (que a menudo clasificamos como malware Diskcoder o Filecoder), así como proporcionar formas de recuperar datos. Al mismo tiempo, no deseamos alertar a las bandas criminales detrás de este flagelo que hemos hecho el equivalente tecnológico de abrir sus puertas cerradas con un juego de ganzúas digitales.

En algunos casos, un descifrador puede publicarse y ponerse a disposición del público a través del artículo de la base de conocimiento de ESET. Herramientas de eliminación de malware independientes. En el momento de la publicación, tenemos alrededor de media docena de herramientas de descifrado disponibles allí. Otras herramientas de este tipo están disponibles en el sitio web de la iniciativa No More Ransom, del cual ESET ha sido socio asociado desde 2018. Sin embargo, en otros casos, escribimos descifradores pero no publicamos información sobre ellos.

Los criterios para anunciar que se ha lanzado un descifrador varían con cada pieza de ransomware. Estas decisiones se basan en una evaluación cuidadosa de muchos factores, como qué tan prolífico es el ransomware, su gravedad, qué tan rápido los autores del ransomware corrigen errores de codificación y fallas en su propio software, etc.

Incluso cuando las partes contactan a ESET para recibir ayuda para descifrar sus datos, la información específica sobre cómo se realizó el descifrado no se comparte públicamente para permitir que el descifrado funcione durante el mayor tiempo posible. Creemos que esto proporciona la mejor compensación entre proteger a los clientes contra el ransomware y al mismo tiempo poder ayudar a descifrar archivos ransomware durante el mayor tiempo posible. Una vez que los delincuentes se dan cuenta de que hay agujeros en su cifrado, pueden arreglarlos, y puede pasar mucho tiempo antes de que se puedan encontrar otros fallos que permitan restaurar los datos sin que su propietario sea extorsionado.

Lidiar con el ransomware, tanto con sus operadores como con el propio código del ransomware, es un proceso complicado y, a menudo, es un juego de ajedrez que puede llevar semanas, meses o incluso años, mientras los buenos luchan contra los malos. La opinión de ESET sobre esto es tratar de hacer el máximo bien, lo que significa ayudar a tantas personas como sea posible durante el mayor tiempo posible. También significa que si se encuentra con un sistema afectado por ransomware, no pierda la esperanza, todavía existe una posibilidad remota de que ESET pueda ayudarlo a recuperar sus datos.

El ransomware puede ser un problema que no desaparecerá pronto, pero ESET está listo para protegerlo contra él. Sin embargo, prevenirlo en primer lugar es mucho mejor que curarlo.