Cómo evitar la técnica RIPlace utilizada por el ransomware

Un poco de historia reciente

Más de dos años atrás, cuando se produjo el estallido de WannaCry, el mundo hablaba del ransomware, su modo de operar, y las maneras de evitar convertirse en una de sus víctimas (o al menos intentarlo). Durante varios meses, evitar una infección de esta variante de malware se convirtió en prioridad de las empresas.

Con el paso del tiempo, los incidentes de ransomware se volvieron cada vez más comunes, y las empresas dejaron de lado la urgencia en la preocupación, también porque habían logrado elevar sus niveles de protección y reducir la efectividad de la amenaza. En cierto punto, WannaCry había alertado a las empresas de la existencia de un tipo de programa malicioso novedoso, incluso sin ser nuevo.

RIPlace

En los últimos meses, casos como el de Pemex o Prosegur han puesto al ransomware nuevamente en el centro de la escena del cibercrimen, y resultó interesante ver que los cibercriminales hubieran mejorado las tácticas y técnicas que utilizan para comprometer la información de las compañías. Con esto en consideración, las empresas de seguridad estamos constantemente mejorando nuestras tecnologías, e investigando a la vez posibles fallas o vulnerabilidades en los mecanismos de protección contra este tipo de amenaza. Es precisamente en este contexto que se da la aparición de nueva técnica de evasión llamada RIPlace, hallada por especialistas de la firma de ciberseguridad Nyotron.

De acuerdo con el reporte de la compañía, esta técnica permite que una amenaza pueda evadir los mecanismos de detección de ransomware y logre cifrar la información. En base a las pruebas realizadas por la firma, más de una decena de proveedores se ve afectada por el uso de RIPlace.

Teniendo en cuenta lo antedicho, es importante destacar que esta técnica solo afecta a aquellas soluciones que utilizan un mecanismo de control de carpetas, es decir, que le permite a un administrador controlar una carpeta específica para evitar que la misma sea alterada por una aplicación no autorizada. Esta funcionalidad, por ejemplo, se encuentra disponible en Windows 10.

ESET frente a RIPlace

Las soluciones de ESET cuentan con un módulo de protección especifico llamado Ransomware Shield. Dado que su objetivo es detectar nuevas variantes de ransomware, dicha técnica de evasión no tiene efecto, ya que el escudo no se enfoca en proteger una carpeta específica sino en monitorear el comportamiento de todos los procesos del sistema. Una vez hecho esto, detiene y alerta al administrador cuando detecta que algún componente está intentando cifrar información. Este enfoque permite detectar nuevas variantes en base a un comportamiento estándar del ransomware, independientemente de cómo haya llegado al equipo, o qué esté tratando de cifrar.

Desde ESET estamos continuamente trabajando para mejorar nuestras soluciones y añadiendo nuevas características para proteger la información de las empresas y los usuarios que nos confían la seguridad de sus datos. Para garantizar el correcto funcionamiento y la mejor detección, es importante siempre tener instaladas las últimas versiones de nuestras soluciones.

Si quieren conocer más acerca del ransomware y la protección que ESET pone a disposición, los invitamos a que visiten el sitio web especialmente dedicado a la protección contra esta amenaza.

Créditos Imagen: Markus Spiske en Unsplash

¿Cuál es el mejor GTA?

En #GamersESET nos encanta debatir y hablar sobre videojuegos, así que nos tomamos un par de horas para definir cuál es el mejor GTA.

Los mejores luchadores de Mortal Kombat

A horas del lanzamiento de la nueva película de Mortal Kombat, elegimos a nuestros luchadores favoritos y sus mejores fatalities.

Ganadores ESET Partner Awards 2020

Desde ESET valoramos el esfuerzo y compromiso de nuestros socios de negocio, te invitamos a conocer quienes se destacaron este año en esta nueva nota.

Posts recomendados