{"id":4694,"date":"2020-11-30T11:56:00","date_gmt":"2020-11-30T14:56:00","guid":{"rendered":"https:\/\/www.radians.com.ar\/blog\/?p=4694"},"modified":"2020-12-11T12:44:20","modified_gmt":"2020-12-11T15:44:20","slug":"wastedlocker-el-ransomware-que-elude-la-deteccin-en-windows","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=4694","title":{"rendered":"WastedLocker el ransomware que elude la detección en Windows"},"content":{"rendered":"

\"image\"<\/a>Cada d\u00eda los ataques de malware y ransomware son m\u00e1s sofisticados. En este caso hablamos del ransomware WastedLocker que est\u00e1 abusando de una funci\u00f3n de administraci\u00f3n de memoria de Windows<\/strong> para eludir la detecci\u00f3n por parte del software de seguridad. Vamos a empezar explicando como las soluciones anti-ransomware detectan este software malicioso, y luego, c\u00f3mo WastedLocker trabaja para evitarlo.<\/p>\n

C\u00f3mo funcionan los softwares anti-ransomware<\/h4>\n

Actualmente las soluciones anti-ransomware trabajan supervisando el sistema operativo en busca de llamadas al sistema de archivos que utiliza el ransomware tradicionalmente para cifrar un archivo. La forma de operar las soluciones anti-ransomware es la siguiente: el software de seguridad va a registrar un controlador minifiltro que le permite monitorizar en tiempo real las llamadas del sistema que interact\u00faan con el sistema de archivos.<\/p>\n

En el caso de que este controlador detectara un proceso desconocido, que realiza muchas operaciones secuenciales al abrir un archivo, saltar\u00edan las alarmas, como, por ejemplo, escribir en \u00e9l y luego cerrar el archivo. Entonces se activar\u00e1 una detecci\u00f3n de comportamiento y el proceso ofensivo finalizar\u00e1 en ese momento.<\/p>\n

En resumen, este m\u00e9todo de detecci\u00f3n de comportamiento esencialmente sacrifica algunos archivos para detectar comportamientos maliciosos y evitar que el resto de la unidad se cifre por completo por el ransomware.<\/p>\n

WastedLocker usa el administrador de cach\u00e9 de Windows<\/h2>\n

El ransomware WastedLocker ha adquirido gran popularidad las \u00faltimas semanas y se ha atribuido al grupo de pirater\u00eda Evil Corp. En un informe<\/strong> realizado por los investigadores de seguridad de Sophos<\/strong>, explican c\u00f3mo WastedLocker usa el Administrador de cach\u00e9 de Windows para eludir la detecci\u00f3n<\/strong>.<\/p>\n

Windows, para aumentar su rendimiento, tiene una forma de trabajar de la que se ha aprovechado este ransomware. En ella, los archivos de uso com\u00fan o los archivos espec\u00edficos de una aplicaci\u00f3n se leen y almacenan en la memoria cach\u00e9 de Windows, que utiliza la memoria del sistema.<\/p>\n

El funcionamiento es el siguiente, si un programa necesita acceder a un archivo, el sistema operativo verificar\u00e1 si est\u00e1 en la cach\u00e9 y, de ser as\u00ed, lo cargar\u00e1 desde all\u00ed. La ventaja que tiene es que esos datos almacenados en la memoria cach\u00e9 se pueden acceder m\u00e1s r\u00e1pido a ellos que si tuvi\u00e9ramos que leerlos desde una unidad de disco.<\/p>\n

WastedLocker para evitar la detecci\u00f3n mediante software anti-ransomware, incluye una rutina que abre ese archivo, lo lee en el administrador de cach\u00e9 de Windows, y luego cierra el archivo original.<\/p>\n

\"www.radians.com.ar\"<\/a><\/p>\n

Como los datos ahora se est\u00e1n guardados en el administrador de cach\u00e9 de Windows, WastedLocker lo que har\u00e1 es cifrar el contenido del archivo almacenado en la memoria cach\u00e9, en lugar del archivo almacenado en el sistema de archivos.<\/p>\n

Ejemplo de actuaci\u00f3n WastedLocker<\/h2>\n

En el momento que modificamos los contenidos de un archivo almacenado en la memoria cach\u00e9 de Windows, se vuelven \u00absucios\u00bb. Cuando se \u00abensucian\u00bb suficientes datos, el administrador de cach\u00e9 de Windows volver\u00e1 a escribir los datos en cach\u00e9 cifrados en sus archivos originales. Debido a que el administrador de cach\u00e9 de Windows se ejecuta como un proceso del sistema, nuestro software anti-ransomware ver\u00e1 esa escritura de los datos cifrados como un proceso de Windows permitido.<\/p>\n

Aqu\u00ed pod\u00e9is ver en esta captura de pantalla ofrecida por Sophos en que se aprecia como los archivos est\u00e1n siendo encriptados.<\/p>\n

\"www.radians.com.ar\"<\/a><\/p>\n

Gracias a esta forma de actuar, las detecciones de comportamiento en el software anti-ransomware ver\u00e1n esto como un proceso leg\u00edtimo escribiendo datos cifrados, y no detectar\u00e1n que algo est\u00e1 mal. Este nuevo m\u00e9todo va a evitar de manera efectiva los m\u00f3dulos de protecci\u00f3n contra el ransomware que tenemos instalados en nuestros equipos Windows, por tanto, permitir\u00e1 que WastedLocker cifre todos nuestros archivos.<\/p>\n

El director de ingenier\u00eda de Sophos, Mark Loman, manifest\u00f3 que su motor de protecci\u00f3n CryptoGuard ya se ha actualizado para detectarlo. De este modo, se han implementado las actualizaciones de c\u00f3digo para los usuarios de HitmanPro.Alert. Tambi\u00e9n los clientes que est\u00e9n utilizando Intercept X, recibir\u00e1n esta actualizaci\u00f3n en un momento posterior y estar\u00e1n inmediatamente protegidos.<\/p>\n

Por \u00faltimo, debemos considerar a WastedLocker como una amenaza de ransomware de la que todas las empresas deben tener en cuenta y preocuparse. Las organizaciones deben estar preparadas para enfrentarse al uso de t\u00e9cnicas avanzadas como el administrador de cach\u00e9 de Windows, flujos de datos alternativo, omisiones de UAC y m\u00e1s.<\/p>\n","protected":false},"excerpt":{"rendered":"

Cada d\u00eda los ataques de malware y ransomware son m\u00e1s sofisticados. En este caso hablamos…<\/p>\n","protected":false},"author":1,"featured_media":4699,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[279],"tags":[230,304],"class_list":["post-4694","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-windows-10","tag-seguridad","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/4694","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4694"}],"version-history":[{"count":3,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/4694\/revisions"}],"predecessor-version":[{"id":4700,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/4694\/revisions\/4700"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4699"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4694"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4694"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4694"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}