Latch ARW: Capa extra de seguridad contra el ransomware

sábado, 3 de diciembre de 2016

Aunque la seguridad informática está en auge, muchas veces los ataques no llegan a salir la luz. Hace unos días estuve hablando con una persona que trabajaba en una gestoría que sufrió en primera persona un ataque de un ransomware.

El software malicioso “secuestró” los datos de sus clientes, supuestamente protegidos mediante las medidas estándar del sistema operativo, y tuvieron que ceder al chantaje pagando a los creadores para recuperar los datos y seguir la operación normal de la compañía. Por supuesto, todo el asunto se llevó en secreto y no se notificó a los clientes. Este caso me llamó la atención por la gravedad y la forma de resolverlo. No se sabe con seguridad cómo entró el software en el sistema, pero después de haber tratado alguno, no es muy complicado pensar en una descarga de una herramienta desconocida o un programa recibido de algún contacto de confianza, comprometido a su vez.


Los sistemas disponen de protección de forma nativa, gestión de permisos locales, etc. Pero la naturaleza del ataque implica que si un usuario tiene permisos para modificar o borrar algún documento también lo tendrá el ransomware. Esto hace que sea necesario un componente adicional al sistema operativo para aplicar alguna regla extra en la detección de estos ataques.

¿Cómo hacemos frente al ransomware?
Originado en el laboratorio de innovación, Latch Antiransomware nace como una capa de seguridad extra, adicional al sistema operativo, que permita aplicar alguna regla de usuario de forma preventiva para resolver casos como el anterior. Además, tiene que ser muy sencillo y usable de forma que lo puedan aplicar usuarios no avanzados, que son el objetivo habitual del ransomware. ¿Y qué regla de usuario aplicar para extender los sistemas de autorización podríamos usar en ElevenPaths? Latch, por supuesto.

De cara al usuario el uso es tan sencillo como parear el equipo con Latch, que se puede realizar directamente desde el instalador.


Una vez pareado el equipo, el usuario puede seleccionar qué carpetas desea proteger directamente desde el explorador de Windows.


A partir de ese momento, el software analiza cada petición de acceso a disco sobre esas carpetas y, solo en las que sean de escritura, modificación o borrado, consulta a los servidores de Latch confirmando el estado establecido por el usuario y permitir o no la operación. En definitiva se añade una capa de autorización de escritura al sistema operativo cuya regla de negocio es el estado de la carpeta en Latch.

La ventaja de este sistema es que, a parte de sencillo de utilizar, la capa de autorización descansa en un tercero y está gestionada directamente por el usuario. Es cierto que la simpleza del funcionamiento no permite reglas complejas, orientando su utilización a carpetas con un uso relativamente específico. Es decir, carpetas que no tengan una tasa de escritura alta por ejemplo, ya que sería necesario abrir y cerrar el Latch en cada operación. No obstante, las últimas versiones de Latch permiten reglas un poco más complejas, como el bloqueo por tiempo o el bloqueo programado, que se podrían utilizar para desbloquear una carpeta y hacer un backup programado sin interacción del usuario.

La magia
Aunque la herramienta es sencilla de utilizar y de instalar, la magia que hay por debajo es relativamente compleja. La solución descansa en un driver de disco que se ejecuta en modo kernel y se encarga de monitorizar las operaciones de entrada/salida en los volúmenes de disco que permitan operaciones de escritura (FAT, FAT32 y NTFS). El driver no realiza ninguna operación salvo en aquellas carpetas que están protegidas por Latch. En estas se lanza una consulta del estado contra el servidor y se permite o no en función del estado devuelto.

Este tipo de drivers son los mismos que usan los sistemas de antivirus, antimalware, etc. comerciales. De hecho, este sistema lo hace compatible con otros software de este tipo ya que la arquitectura del sistema operativo lo permite.

Por otro lado, el interfaz de usuario para el pareo, protección y desprotección de las carpetas está integrado en el sistema operativo de forma que su uso se integre dentro de la experiencia de usuario habitual. Todas las operaciones se realizan directamente desde el explorador de Windows, mediante el menú contextual del botón derecho del ratón.

Probando la herramienta
La herramienta se encuentra pasando la fase de calidad del departamento de ingeniería de ElevenPaths. No obstante, se han realizado pruebas funcionales con ransomware reales. La última prueba consistió en lanzar sobre una máquina con Windows 8.1 diez programas que contenían ransomware de los más habituales. Es más, estos programas se lanzaron con privilegios administrativos, para que su ejecución no presentara ninguna restricción de permisos en carpetas protegidas por los permisos estándar del sistema operativo (UAC, etc.).

Solo una de las carpetas del disco estaba protegida mediante Latch ARW y contenía imágenes de Chema, tratando de simular las carpetas tipo de un usuario normal (fotos, documentos, etc.).

Este es el resultado, al día siguiente, sobre las carpetas de documentos e imágenes. Se aprecia como todos los contenidos han sido “secuestrados”, cifrados a la espera del pago por parte del usuario:


De hecho, apreciamos que ciertos ransomware habían secuestrado, a su vez, el resultado de otros ransomware que entraron en acción anteriormente. Esto complicaría la recuperación de la información aun pagando a los malos.


El fondo de pantalla fue modificado por uno de los ransomware indicando los pasos que tenía que seguir el usuario para recuperar su información:


Sin embargo, la carpeta protegida por Latch ARW no sufrió ninguna modificación y las imágenes de Chema quedaron a salvo.


Adicionalmente a la protección, recibimos en el móvil las notificaciones de intento de modificación de las imágenes en el momento en el que el ransomware actuó sobre ellas. Esto nos permitió analizar en qué momento entró en funcionamiento. Para el usuario final es importante saber que alguien está tratando de acceder a su información con la intención de modificarla para poder tomar decisiones.

El resultado de la prueba fue satisfactorio, aunque todavía nos queda mucho trabajo por delante.

Latch ARW solo pretende ser una herramienta sencilla y entendible que ayude a los usuarios a luchar contra este tipo de malware. Sin grandes reglas de negocio, sin impactar en el rendimiento del sistema y sin pagar rescates en bitcoins.


No hay comentarios:

Publicar un comentario en la entrada