Inicio / Blog / Ransomware: medidas de detección

Ransomware: medidas de detección

Publicado el 14/10/2021, por INCIBE
Ransomware: medidas de detección

Analizadas las medidas de prevención más destacadas en los artículos: medidas preventivas (I) y (II), este nuevo artículo de blog explicará aquellas medidas destinadas a detectar la infección por ransomware cuando esta no pudo evitarse.

Una rápida detección de una infección por este tipo de malware es crucial. Sin embargo, es una tarea que frecuentemente resulta difícil de logar para antivirus y otros softwares de seguridad.

Evidencias y medidas para la detección a nivel individual

A continuación, se detallan algunas posibles evidencias y medidas que permitirían detectar si un equipo concreto ha sido infectado por ransomware.

Aparición de algún tipo de nota de rescate

El principal objetivo que persiguen los ciberdelincuentes ejecutando un ataque de tipo ransomware, es ganar dinero, por lo que estos dejarán una nota de rescate que llame la atención a modo de documento de texto en el escritorio o de información en el fondo de pantalla, con las indicaciones para hacer el pago.

Rescate de ekans

Ilustración 1. Rescate de Ekans

Ilustración 2. Rescate de Wannacry. Fuente: AZ

Disminución del rendimiento del equipo

Los procesos de cifrado que se producen tras una infección por ransomware requieren de una gran potencia de cálculo, lo que implica un incremento en el consumo de una gran parte de los recursos del ordenador.

Alta actividad inusual en el disco duro

Una evidencia más, debida al cifrado que se realiza en el ordenador, es un uso del disco duro muy elevado, llegando incluso a ser del 100% si se trata de un disco duro mecánico, ya que todos los archivos que se pretendan dejar inaccesibles se deben modificar.

Un usuario puede comprobar el uso del disco duro de un equipo accediendo al panel de administrador de tareas del mismo, pero si desea monitorizar el uso del disco, existen otras herramientas, como Nagios.

Eventos de red inesperados

Otro de los objetivos de la mayoría de los malware, incluyendo los ransomware, es expandirse. Entre más equipos estén infectados, mayor será el número de potenciales pagadores.

La forma más sencilla y común de expandirse es mediante unidades de red que estén montadas automáticamente en el equipo o aprovechando vulnerabilidades de protocolos, como se ha visto con RDP y SMB.

Para detectar estos eventos a nivel local en el equipo, existen herramientas como Network Monitor, que ayudan a conocer la cantidad y el origen del tráfico que entra o sale de un ordenador. Por otro lado, en caso de querer detectarlos a nivel de red, un firewall perimetral puede proporcionar la misma información anterior.

Alertas de seguridad por parte del sistema operativo o de las soluciones antivirus

Según la plataforma y software que se use, un antivirus a veces puede detectar una infección por ransomware. Ante este tipo de alertas, actuar lo antes posible es crucial para garantizar la integridad del equipo.

Tareas programadas no previstas

Algunas veces, tras infectar un equipo, este tipo de malware permanece un tiempo en un estado de hibernación, con el fin de buscar no sólo expandirse sino también establecer persistencia.

El principal objetivo de esta conducta es afectar a la mayor cantidad posible de dispositivos de forma simultánea para causar un mayor impacto, provocar cierta histeria en los usuarios y dificultar la respuesta.

Estas tareas pueden implicar acciones como cifrado de archivos o comunicación con un servidor Command and Control (C&C), que se ejecutarían bajo ciertas condiciones, por ejemplo, al arrancar o apagar el sistema, al iniciar sesión, a una hora específica del día o cuando el ordenador no esté ejecutando ninguna función.

El programador de tareas de un equipo permitirá detectar, editar y eliminar aquellas tareas programadas que existan.

Resultados de un análisis forense

Las técnicas de análisis forense permiten detectar malware en fases en las que resulta imperceptible para un usuario normal. Este análisis siempre se hará mediante un triage del equipo, de forma rápida y tratando de encontrar modificaciones en diferentes archivos fruto de un cifrado.

El triage se realiza para detectar el alcance del daño producido y permitir una mejor actuación a la hora de afrontar el problema, estableciendo prioridades de respuesta. Cuando ya se tiene el equipo bajo control y se ha detectado el problema, se hace una investigación más profunda a través de las pruebas o evidencias recogidas anteriormente, desarrollando así el análisis forense al equipo.

Un ejemplo de este análisis es revisar la MFT (tabla de archivos maestros) de los sistemas de archivos NTFS. En ella queda registrada una entrada cada vez que se realiza una modificación en un archivo.

Evidencias y medidas para la detección a nivel colectivo

Si lo que se requiere es detectar un ransomware en una red o en una organización, se recomienda seguir las siguientes medidas:

Recopilar y analizar los registros de los posibles puntos de acceso

A parte de los puntos de acceso genéricos, se debe revisar cualquier otro por el que podría acceder un malware en la organización. Para los genéricos puede ser útil revisar los registros del firewall perimetral o del correo electrónico, aunque todo depende del malware y la situación de la infraestructura.

  • En el ámbito de los dispositivos de seguridad perimetral, destacan las siguientes acciones:
    • Búsqueda de conexiones con servidores de control, para lo que podemos ayudarnos de un servicio de categorización de direcciones IP y dominios.
    • Búsqueda de tráfico malicioso e inusual en los servicios que estén expuestos al exterior, como escritorios remotos (RDP) o servidores de ficheros (ejemplo: samba).
  • En el ámbito del correo electrónico, la búsqueda se reduce a analizar elementos maliciosos como un archivo, dentro de una carpeta comprimida con contraseña (.zip o .rar); un enlace o una macro de Office.

La protección con contraseñas evita que el archivo sea detectado por los antivirus que incorporan los proveedores de correo electrónico, como Gmail u Outlook. Dentro de estos archivos comprimidos, el malware puede encontrarse en diversas formas, aunque lo habitual es que esté embebido en un script de Visual BASIC o dentro de un documento de Word.

Analizar el tráfico de red hacia el exterior

Hallar comunicaciones o intentos de comunicación con servidores C&C, o encontrar monitorizaciones constantes de un kill switch, son evidencias de que un activo ha sido infectado por malware. Todos ellos suponen un tráfico inusual y posiblemente dirigido hacia un destino catalogado como malicioso.

Podemos saber si una IP es maliciosa usando diferentes técnicas. La más efectiva es usar servicios de intercambio de información sobre ciberamenazas como ICARO de INCIBE.

Por otra parte, si no se tuviera acceso a un servicio de este tipo, se puede usar un servicio de categorización de direcciones IP y dominios como, por ejemplo, Talos intelligence de Cisco.

Analizar el tráfico de red interno

Los principales indicadores de tráfico interno que pueden constatar la existencia de un ransomware, que trata de expandirse por la red en la que se encuentra el equipo infectado, son los siguientes:

  • Tráfico inusual hacia servidores de ficheros.
  • Tráfico inusual de tipo RDP.
  • Tráfico inusual en el puerto 445 (Intercambio de archivos SMB).

Para analizar este tráfico de red se pueden usar herramientas como Wireshark o también se pueden usar dispositivos de seguridad perimetral que tengan capacidad de registrar y buscar conexiones de red, como un firewall.

Investigar exhaustivamente los equipos sospechosos

Si con las medidas descritas anteriormente se sospecha que algún equipo en concreto puede estar infectado, se deberá examinar con más detalle. Para ello, será útil hacer uso de un correlacionador de eventos (SIEM), ya que este recompila registros de múltiples fuentes y las unifica en un único punto de consulta.

Conclusión

La detección y toma de decisiones temprana es importante para protegerse frente a amenazas de ransomware tanto a nivel de equipos individuales, en los que se podría detener un cifrado y limitar la expansión del código malicioso por dentro de la red, como a nivel global, debido a que se podría evitar que el malware afectase a activos de mayor valor para la empresa, como servidores de datos compartidos, en los que se suele almacenar información sensible.