Cada día los ataques de malware y ransomware son más sofisticados. En este caso hablamos del ransomware WastedLocker que está abusando de una función de administración de memoria de Windows para eludir la detección por parte del software de seguridad. Vamos a empezar explicando como las soluciones anti-ransomware detectan este software malicioso, y luego, cómo WastedLocker trabaja para evitarlo.
Cómo funcionan los softwares anti-ransomware
Actualmente las soluciones anti-ransomware trabajan supervisando el sistema operativo en busca de llamadas al sistema de archivos que utiliza el ransomware tradicionalmente para cifrar un archivo. La forma de operar las soluciones anti-ransomware es la siguiente: el software de seguridad va a registrar un controlador minifiltro que le permite monitorizar en tiempo real las llamadas del sistema que interactúan con el sistema de archivos.
En el caso de que este controlador detectara un proceso desconocido, que realiza muchas operaciones secuenciales al abrir un archivo, saltarían las alarmas, como, por ejemplo, escribir en él y luego cerrar el archivo. Entonces se activará una detección de comportamiento y el proceso ofensivo finalizará en ese momento.
En resumen, este método de detección de comportamiento esencialmente sacrifica algunos archivos para detectar comportamientos maliciosos y evitar que el resto de la unidad se cifre por completo por el ransomware.
WastedLocker usa el administrador de caché de Windows
El ransomware WastedLocker ha adquirido gran popularidad las últimas semanas y se ha atribuido al grupo de piratería Evil Corp. En un informe realizado por los investigadores de seguridad de Sophos, explican cómo WastedLocker usa el Administrador de caché de Windows para eludir la detección.
Windows, para aumentar su rendimiento, tiene una forma de trabajar de la que se ha aprovechado este ransomware. En ella, los archivos de uso común o los archivos específicos de una aplicación se leen y almacenan en la memoria caché de Windows, que utiliza la memoria del sistema.
El funcionamiento es el siguiente, si un programa necesita acceder a un archivo, el sistema operativo verificará si está en la caché y, de ser así, lo cargará desde allí. La ventaja que tiene es que esos datos almacenados en la memoria caché se pueden acceder más rápido a ellos que si tuviéramos que leerlos desde una unidad de disco.
WastedLocker para evitar la detección mediante software anti-ransomware, incluye una rutina que abre ese archivo, lo lee en el administrador de caché de Windows, y luego cierra el archivo original.
Como los datos ahora se están guardados en el administrador de caché de Windows, WastedLocker lo que hará es cifrar el contenido del archivo almacenado en la memoria caché, en lugar del archivo almacenado en el sistema de archivos.
Ejemplo de actuación WastedLocker
En el momento que modificamos los contenidos de un archivo almacenado en la memoria caché de Windows, se vuelven «sucios». Cuando se «ensucian» suficientes datos, el administrador de caché de Windows volverá a escribir los datos en caché cifrados en sus archivos originales. Debido a que el administrador de caché de Windows se ejecuta como un proceso del sistema, nuestro software anti-ransomware verá esa escritura de los datos cifrados como un proceso de Windows permitido.
Aquí podéis ver en esta captura de pantalla ofrecida por Sophos en que se aprecia como los archivos están siendo encriptados.
Gracias a esta forma de actuar, las detecciones de comportamiento en el software anti-ransomware verán esto como un proceso legítimo escribiendo datos cifrados, y no detectarán que algo está mal. Este nuevo método va a evitar de manera efectiva los módulos de protección contra el ransomware que tenemos instalados en nuestros equipos Windows, por tanto, permitirá que WastedLocker cifre todos nuestros archivos.
El director de ingeniería de Sophos, Mark Loman, manifestó que su motor de protección CryptoGuard ya se ha actualizado para detectarlo. De este modo, se han implementado las actualizaciones de código para los usuarios de HitmanPro.Alert. También los clientes que estén utilizando Intercept X, recibirán esta actualización en un momento posterior y estarán inmediatamente protegidos.
Por último, debemos considerar a WastedLocker como una amenaza de ransomware de la que todas las empresas deben tener en cuenta y preocuparse. Las organizaciones deben estar preparadas para enfrentarse al uso de técnicas avanzadas como el administrador de caché de Windows, flujos de datos alternativo, omisiones de UAC y más.
Os recomendamos leer nuestro tutorial sobre cómo agregar o quitar unidades de red en Windows 10 rápidamente.