Aunque hay
algunas medidas que el usuario privado tiene a su disposición para evitar
ataques de ransomware, la tarea puede ser mucho mas difícil para el oficial
de seguridad de una red empresarial.
Una táctica
común que no es exclusiva de los
extorsionistas digitales es el uso de algoritmos de generación de nombre de
dominio (DGA
por sus siglas en inglés). Estos algoritmos, como su nombre lo indica, generan
múltiples nombres de dominios (domain names) para usar en sus servidores de
comando y control (C2). Si el atacante registra
aunque sea uno solo de estos nombres de dominio, la conexión al servidor de
comando y control (C2) será posible.
El número de
dominio que los atacantes pueden generar ha ido en aumento con los años. Por
ejemplo, la primera versión de Conficker generaba hasta
250 nombres de dominios por día y la versión “C”
de Conficker generó hasta 50.000 dominios diarios.
Como era de
esperar, el uso de DGA se extendió al ransomware. El peligroso Cryptolocker
usaba la fecha como una semilla para generar un nombre de dominio y tiene el
potencial de generar muchos dominios por día. Aunque diferentes versiones de Cryptolocker
usan algoritmos diversos, generalmente la semilla se basa en el día, mes y año.
Adicionalmente, algunas variaciones de Cryptolocker usan una llave
semialeatoria. De esta manera, el numero de posibles valores se incrementa
exponencialmente.
Esta táctica es
muy desalentadora para quienes se dedican a la defensa y protección de información. El tradicional
bloqueo de nombre de dominio ya no es posible. Si un día el nombre de dominio
malicioso es “jsjvitqhvvdnjlfn.com” y al siguiente una variación completamente
diferente. ¿Quién puede generar un filtro diario que bloquee estos miles de
dominios?
Afortunadamente,
los reportes de inteligencia de riesgo informático proveen actualizaciones
diarias con nombres de dominios maliciosos que se pueden alimentar a los
sistemas proxy o detección de intruso IDS. También es necesario analizar nuevos
dominios que aparezcan en la red empresarial.
Obviamente,
la consecuencia es el aumento de costos. Si las empresas de hoy desean proteger
su información, deberán mantener analistas de seguridad dedicados
exclusivamente al análisis de datos transmitidos desde y hacia la empresa. Para
ser exitosos estos analistas no podrán realizar otras tareas, administrar ningún
otro sistema o dedicarse a dar soporte a usuarios.