Parámetros para la detección de ataques ransomware
El número de usuarios particulares y empresas afectadas por ataques de ransomware ha incrementado considerablemente en los últimos años. La creación de nuevos modelos de negocio basados en el internet de las Cosas, servicios en la nube, e-banking, junto con el anonimato de las transacciones en criptomonedas han motivado el diseño de nuevos ataques.
Los atacantes han creado nuevas variantes de malware, causando un daño alarmante, tanto financieramente como en la imagen institucional de las empresas. Por eso, el ransomware se ha convertido en uno de los ataques más peligrosos provocando grandes pérdidas alrededor del mundo.
De acuerdo con un reporte de la empresa Symantec, el número de ataques ransomware aumentó en un 113%, siendo considerado una amenaza del núcleo de internet. Los ataques también se dirigen a grandes organizaciones, como hospitales, entidades educativas o bancarias.
La detección oportuna de un ataque de ransomware es uno de los principales objetivos en el área del desarrollo de ciberseguridad debido a que una vez que el ataque ha sido efectuado se dificulta la recuperación de la información; es por eso que se intenta encontrar parámetros que permitan detectar un ataque en sus primeras fases (antes de la encriptación de datos).
Para prevenir estos ataques se han elaborado propuestas que se enfocan en recomendaciones, como la realización de backups o actualización del sistema operativo, también existen estrategias que proponen diferentes mecanismos para la prevención de pérdida de información, por ejemplo la creación de un repositorio seguro o el despliegue de herramientas de seguridad informáticas.
Por ejemplo, en algunos métodos estratégicos se han analizado las llamadas a APIs a través de algoritmos de minería de datos, como Random Forest o Máquina de Vector de Soporte, donde se incluyen la extracción y selección de características, el procesamiento de la información, y el análisis de resultados a través de algoritmos de aprendizaje. En otros casos, se propone un método de clasificación dinámico para detectar el tipo de ransomware al que pertenece el ataque, donde considera características cómo: las APIs, monitorización de las operaciones del sistema de archivos, directorios y registros, entre otras.
Una de las opciones más destacadas que se han propuesto, es el análisis de métricas y estadísticas del sistema o de la red que permitan detectar patrones conocidos y, de ser posible, predecir un futuro ataque.
Algunos patrones podrían ayudar a contrarrestar posibles ataques y a desarrollar un plan de recuperación, sin embargo, es importante aclarar que debido a la gran cantidad de amenazas y a las características de cada tipo de ataque, no existe un modelo de aprendizaje ideal para la detección de ransomware, pero el enfoque se ha centrado en seleccionar algoritmos que permitan identificar como sospechoso el comportamiento de atributos que puedan ser monitorizados.
Se espera que a futuro se incluya el mejoramiento de algoritmos que permitan detectar con una tasa de mayor acierto cuándo una aplicación está ejecutando tareas maliciosas de ransomware relacionando parámetros de diferente naturaleza como archivos creados, tráfico de red, conexiones remotas o modificaciones en el registro del sistema. Las soluciones de ciberseguridad de Ikusi protegen la infraestructura crítica de tu empresa, mediante el servicio de detección de amenazas cubriendo el ciclo completo de un ataque desde el análisis de amenazas, para su contención oportuna.