jueves, 21 de julio de 2016

Ransomware. ¿Por qué es tan difícil de combatir?


Aunque hay algunas medidas que el usuario privado tiene a su disposición para evitar ataques de ransomware, la tarea puede ser mucho mas difícil para el oficial de seguridad de una red empresarial.

Una táctica común  que no es exclusiva de los extorsionistas digitales es el uso de algoritmos de generación de nombre de dominio (DGA por sus siglas en inglés). Estos algoritmos, como su nombre lo indica, generan múltiples nombres de dominios (domain names) para usar en sus servidores de comando y control (C2).  Si el atacante registra aunque sea uno solo de estos nombres de dominio, la conexión al servidor de comando y control (C2) será posible.

El número de dominio que los atacantes pueden generar ha ido en aumento con los años. Por ejemplo, la primera versión de Conficker generaba hasta 250 nombres de dominios por día y la versión “C” de Conficker generó hasta 50.000 dominios diarios.

Como era de esperar, el uso de DGA se extendió al ransomware. El peligroso Cryptolocker usaba la fecha como una semilla para generar un nombre de dominio y tiene el potencial de generar muchos dominios por día. Aunque diferentes versiones de Cryptolocker usan algoritmos diversos, generalmente la semilla se basa en el día, mes y año. Adicionalmente, algunas variaciones de Cryptolocker usan una llave semialeatoria. De esta manera, el numero de posibles valores se incrementa exponencialmente.  

Esta táctica es muy desalentadora para quienes se dedican a la defensa  y protección de información. El tradicional bloqueo de nombre de dominio ya no es posible. Si un día el nombre de dominio malicioso es “jsjvitqhvvdnjlfn.com” y al siguiente una variación completamente diferente. ¿Quién puede generar un filtro diario que bloquee estos miles de dominios?

Afortunadamente, los reportes de inteligencia de riesgo informático proveen actualizaciones diarias con nombres de dominios maliciosos que se pueden alimentar a los sistemas proxy o detección de intruso IDS. También es necesario analizar nuevos dominios que aparezcan en la red empresarial.

Obviamente, la consecuencia es el aumento de costos. Si las empresas de hoy desean proteger su información, deberán mantener analistas de seguridad dedicados exclusivamente al análisis de datos transmitidos desde y hacia la empresa. Para ser exitosos estos analistas no podrán realizar otras tareas, administrar ningún otro sistema o dedicarse a dar soporte a usuarios.