viernes, 4 de junio de 2021

Una nueva técnica para que un ransomware se salte el antivirus


      Actualmente, el ransomware es una de las amenazas a la seguridad más importantes y más presentes a la hora de navegar por la red. Los piratas pueden cifrar sistemas y archivos para posteriormente pedir un rescate a cambio. Aunque existen herramientas para protegernos, los ciberdelincuentes buscan nuevas formas de consumar los ataques. Esta vez, nos hacemos eco de un nuevo truco para saltarse las medidas de seguridad.

Un grupo de investigadores ha detectado una serie de fallos que podrían afectar a programas de seguridad. Un atacante podría desactivar la protección y tomar el control total. Esto permitiría que los sistemas de seguridad no actúen correctamente ante un ransomware.

Algunos antivirus cuentan con una función de carpeta protegida. Estas vulnerabilidades permiten romper esta característica y deshabilitan los mecanismos de protección. Seguimos con la eterna lucha entre los ciberdelincuentes y las herramientas de protección. La innovación y la búsqueda de posibles fallos juegan un papel clave en ambos lados.

Esto puede hacer que un ataque ransomware abuse de la característica de carpeta protegida para cambiar el contenido de los archivos, cifrar los datos de la víctima o destruir la información personal. Recordemos, además, que esa característica de carpeta protegida permite a los usuarios seleccionar ciertos archivos para añadirles una capa extra de seguridad, ya que puede bloquear cualquier acceso indeseado.

Los investigadores indican que un grupo de aplicaciones están incluidas en una lista blanca para tener privilegios y escribir en las carpetas protegidas, pero las aplicaciones de la lista no cuentan con la protección contra el uso indebido de otros programas. Aquí es donde aprovecha el malware para hacer las operaciones en las carpetas protegidas.

Un ejemplo es la posible explotación de una aplicación legítima como es el Bloc de Notas para realizar operaciones de escritura y cifrar archivos de la víctima. El ransomware leería estos archivos, los cifraría y los copiaría en el portapapeles del sistema, para finalmente sobreescribir los archivos. Esto también podría ocurrir con la herramienta Paint, generando una imagen de forma aleatoria y destruyendo archivos de forma permanente.

En definitiva, no hay que fiarlo todo a las herramientas de seguridad. Si bien es cierto que hay que contar con un buen antivirus, sólo eso no va a evitar que tengamos ciertos problemas que afecten a nuestros sistemas. Debemos mantener nuestros sistemas actualizados y, sin duda, usar el sentido común. Hay que evitar cometer errores que pueden afectarnos. Muchos archivos en los que confiamos podrían haber sido manipulados, de ahí que evitar errores sea algo fundamental.

No hay comentarios:

Publicar un comentario