Cómo evitar la técnica RIPlace utilizada por el ransomware

Un poco de historia reciente

Más de dos años atrás, cuando se produjo el estallido de WannaCry, el mundo hablaba del ransomware, su modo de operar, y las maneras de evitar convertirse en una de sus víctimas (o al menos intentarlo). Durante varios meses, evitar una infección de esta variante de malware se convirtió en prioridad de las empresas.

Con el paso del tiempo, los incidentes de ransomware se volvieron cada vez más comunes, y las empresas dejaron de lado la urgencia en la preocupación, también porque habían logrado elevar sus niveles de protección y reducir la efectividad de la amenaza. En cierto punto, WannaCry había alertado a las empresas de la existencia de un tipo de programa malicioso novedoso, incluso sin ser nuevo.

RIPlace

En los últimos meses, casos como el de Pemex o Prosegur han puesto al ransomware nuevamente en el centro de la escena del cibercrimen, y resultó interesante ver que los cibercriminales hubieran mejorado las tácticas y técnicas que utilizan para comprometer la información de las compañías. Con esto en consideración, las empresas de seguridad estamos constantemente mejorando nuestras tecnologías, e investigando a la vez posibles fallas o vulnerabilidades en los mecanismos de protección contra este tipo de amenaza. Es precisamente en este contexto que se da la aparición de nueva técnica de evasión llamada RIPlace, hallada por especialistas de la firma de ciberseguridad Nyotron.

De acuerdo con el reporte de la compañía, esta técnica permite que una amenaza pueda evadir los mecanismos de detección de ransomware y logre cifrar la información. En base a las pruebas realizadas por la firma, más de una decena de proveedores se ve afectada por el uso de RIPlace.

Teniendo en cuenta lo antedicho, es importante destacar que esta técnica solo afecta a aquellas soluciones que utilizan un mecanismo de control de carpetas, es decir, que le permite a un administrador controlar una carpeta específica para evitar que la misma sea alterada por una aplicación no autorizada. Esta funcionalidad, por ejemplo, se encuentra disponible en Windows 10.

ESET frente a RIPlace

Las soluciones de ESET cuentan con un módulo de protección especifico llamado Ransomware Shield. Dado que su objetivo es detectar nuevas variantes de ransomware, dicha técnica de evasión no tiene efecto, ya que el escudo no se enfoca en proteger una carpeta específica sino en monitorear el comportamiento de todos los procesos del sistema. Una vez hecho esto, detiene y alerta al administrador cuando detecta que algún componente está intentando cifrar información. Este enfoque permite detectar nuevas variantes en base a un comportamiento estándar del ransomware, independientemente de cómo haya llegado al equipo, o qué esté tratando de cifrar.

Desde ESET estamos continuamente trabajando para mejorar nuestras soluciones y añadiendo nuevas características para proteger la información de las empresas y los usuarios que nos confían la seguridad de sus datos. Para garantizar el correcto funcionamiento y la mejor detección, es importante siempre tener instaladas las últimas versiones de nuestras soluciones.

Si quieren conocer más acerca del ransomware y la protección que ESET pone a disposición, los invitamos a que visiten el sitio web especialmente dedicado a la protección contra esta amenaza.

Créditos Imagen: Markus Spiske en Unsplash

Los juegos más esperados del segundo semestre 2022

Repasamos los lanzamientos más importantes del segundo semestre de 2022

Encuesta gamer Agosto 2022: ¿el conocimiento es sinónimo de seguridad?

Desde #GamersESET nos gustaría conocer tu opinión sobre los conocimientos tecnológicos y su vinculación respecto de la ciberseguridad y los videojuegos.

Las 10 amenazas más propagadas del mundo en julio 2022

Conoce el ranking de las diez amenazas que más se propagaron alrededor del mundo en julio de 2022.

1 Comentario

Dejar respuesta

Please enter your comment!
Please enter your name here

Posts recomendados