Seguridad

¿Dónde está el rescate?Revisión: aplicación de prevención de ransomware para Mac

El ransomware está tomando forma Amenazas más grandes y graves en 2023 que la suma de casi todos los años desde que se notaron por primera vez las infecciones de ransomware. A juzgar por el SambaCry con sabor a Linux para el exploit WannaCry que salió a la luz la semana pasada, los usuarios de Windows y Linux parecen haber hecho el trabajo por ellos.

Pero, ¿qué pasa con los usuarios de Apple? Por supuesto, no crees que son inmunes a todo esto. Si lo hace, entre en mi oficina… Tengo un puente para venderle.

Pero honestamente, El malware para Mac está en aumento Según la tasa de crecimiento de 2023 del 744%, tan rápido como otros sistemas operativos y sin mostrar signos de desaceleración Informe de McAfeeEsto convierte a macOS en un objetivo principal para los atacantes a medida que aumenta la cuota de mercado y crece la base de usuarios finales.

VER: 17 consejos para proteger computadoras Windows y Mac contra ransomware (PDF gratuito) (Tecnopedia)

A medida que evoluciona el malware, también deben hacerlo las herramientas para protegerse contra él.Ingresar ¿Dónde está el rescate?desde una perspectiva objetivaestá diseñado como una herramienta basada en heurística cuyo objetivo es «bloquear universalmente el ransomware OS X» mediante la identificación del único denominador común de todo el ransomware: la creación de archivos cifrados en un sistema infectado.

¿Dónde está el rescate? Supervisa activamente el sistema en busca de procesos que estén cifrando archivos, luego detiene temporalmente el hilo (así es como funcionan otras aplicaciones similares); ahora detecta infecciones. Se alerta al usuario sobre este intento de cifrado y se le solicita que permita que el subproceso continúe o lo termine por completo, evitando que el cifrado falle en seco.

ransomwareistock 684793094goldcastle7

¿Cómo instalar RansomDónde?solicitud

El proceso de instalación es bastante simple. Se puede ejecutar iniciando el instalador extraído del archivo ZIP, o se puede programar. Para fines de implementación, la instalación con secuencias de comandos se incluye aquí. (precaución: Las versiones más nuevas de la aplicación usan comandos de instalación ligeramente diferentes a los informados en el sitio web de Objective-See. )

  1. Extraiga el instalador a un recurso compartido de red o directorio local.
  2. Inicie la terminal.
  3. Ingrese la ruta al ejecutable basado en la línea de comandos del instalador y presione Entrar para instalar.


sudo /Server/share/RansomWhere_installer.app/Contents/MacOS/RansomWhere_installer -install

Completar la instalación requiere credenciales de administrador. Cuando se complete, las palabras «¡Instalado!» se repetirán en la pantalla para confirmar que la instalación fue exitosa (Figura A).

Figura A

202323figure a

Para verificar la instalación, abra el Monitor de actividad y seleccione Ver | Todos los procesos. Busque el proceso titulado RansomDónde para confirmar que está operativo.

Durante la carga inicial, la aplicación se ejecutará en segundo plano y utilizará muchos recursos de la CPU. Esto es normal porque la aplicación ejecuta el inventario de su sistema para incluir en la lista blanca las aplicaciones actualmente instaladas y crear una línea base para iniciar el monitoreo activo. Después de unos minutos, el porcentaje de CPU se reducirá al 0,2 % de su porcentaje saludable (Figura B) (Figura C).

Figura B

202323figure b

Figura C

202323figure c

Ver también: Enfoque de ciberseguridad: La batalla contra el ransomware (Tech Pro Research)

Preparación para el examen

Para examinar adecuadamente una aplicación de seguridad, debe probarla contra amenazas del mundo real; de lo contrario, ¿cómo sabría que la aplicación realmente hace lo que dice ser?

Con eso en mente, preparé una prueba con una copia recién instalada de macOS Sierra, sin actualizaciones, una conexión a Internet sin filtrar y aproximadamente 2 GB de tipos de archivos de destino de ransomware conocidos, como DOC, PDF y JPG. Al final, decidí usar el ransomware KeRanger, así que instalé y ejecuté la aplicación de infección en el sistema, verificando que el sistema estaba infectado (Figura D).

Figura D

202323figure d

Pruebas y Resultados

Después de dejar que el sistema funcionara sin restricciones durante unos días, descubrí que los archivos no estaban encriptados, aunque no por Ransomwhere? Sin embargo, por alguna extraña razón, no sucedió en absoluto. Llámalo casualidad o simplemente suerte. Lo comprobé, Ransom ¿Dónde? Todavía ejecutándose en el sistema, y ​​durante la fase de infección inicial, los servidores de comando y control (C&C) a los que accedió KeRanger no tenían actividad.

Dado que las pruebas no pudieron alcanzar todo el potencial de Ransomwhere?, decidí ir por el otro lado y crear una pequeña aplicación en Automator que, cuando se ejecutara, haría que se copiaran y cifraran megabytes de datos en el escritorio (Figura E) (Figura F).

Figura E

202323figure e

Figura F

202323figure f

Hice esta prueba dos veces. Después de que creó la línea de base, la ejecuté desde el sistema por primera vez sin interferencia de Ransomwhere? Borré la lista de aplicaciones conocidas aprobadas de Ransomwhere por segunda vez. ejecutando el siguiente comando (Figura G):


sudo /Library/Objective-See/RansomWhere/RansomWhere -reset

(Figura G)

202323figure g

Después de eliminar Automator de la lista y volver a ejecutar la prueba antes de volver a ejecutar la línea de base, mi aplicación de prueba copió y cifró con éxito los archivos en el sistema sin mirar desde Ransomwhere?. Al intentar acceder a un archivo, aparece una solicitud de contraseña que indica que el archivo está encriptado y no se puede acceder (Figura H) (Figura 1).

Figura H

202323figure h

Figura 1

202323figure i

línea de fondo

En mi experiencia, aunque Ransomwhere? es un buen concepto, el hecho de que no active ningún tipo de alerta o respuesta cuando el sistema está infectado o cuando los archivos se cifran intencionalmente no es un buen augurio para la aplicación.

Estaba instalando una aplicación después de la fase de instalación inicial en otra Mac, y he aquí que activó la advertencia. Identifique correctamente las aplicaciones que se instalan, los procesos y los archivos que se cifran. El mensaje permaneció durante más de cinco minutos hasta que hice clic en Permitir para continuar con el proceso y completar la instalación. ¿Qué me dice que Ransomwhere tiene mucho potencial? Y tal vez la aplicación debería ajustarse para que sea menos fácil de usar y mejor para detener los procesos que considera una amenaza potencial. Después de todo, ¿no es eso lo que requerimos de otras aplicaciones y dispositivos responsables de brindar seguridad (Figura J)?

Figura J

202323figure j

En teoría, la lógica es sólida. Es similar a un cortafuegos que solicita autorización para establecer una conexión antes de que se establezca una conexión entrante o saliente. Sin embargo, a diferencia de los cortafuegos, que por defecto no confían en nada a menos que se les permita explícitamente de forma manual o mediante reglas preconfiguradas, ¿RansomWhere? Confíe en todas las aplicaciones y procesos existentes en el momento de la instalación. Eso no es un buen augurio para las aplicaciones que pueden contener código malicioso que activa el cifrado de datos después de la hibernación (una característica común de muchas infecciones de malware). Tampoco protege contra ninguna aplicación que pudiera haber existido antes de la instalación y que pudiera verse comprometida por futuras vulnerabilidades.

¿Has usado Ransomwhere? en su organización? Si es así, ¿cómo fue su experiencia con el producto? Nos encantaría saber de usted en la sección de comentarios a continuación.

LEER  Escanee su Android en busca de vulnerabilidades de puerta de certificados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba