Esta función del sistema de archivos de Windows ayuda al ransomware a cifrar archivos sin ser detectado y en cuestión de segundos

Acorde a expertos en seguridad de aplicaciones web de la firma Nyotron, existe un nuevo método que permite a los actores de amenazas cifrar archivos de Windows de una forma especial, gracias a lo cual el software anti ransomware no podría detectar el ataque.

Los ataques de ransomware siguen siendo muy comunes y continúan evolucionando. Un informe elaborado a partir de cifras de múltiples firmas de seguridad menciona que el 28% de los incidentes de ciberseguridad reportados en E.U. están relacionados con infecciones de malware de cifrado, con los operadores de estos ataques empleando recursos cada vez más sofisticados y una clara evolución en la forma de ejecutar una campaña maliciosa.

La más reciente evolución de este malware muestra que los desarrolladores se han esforzado en encontrar formas de evitar la detección. Los expertos de Nyotro, firma de seguridad de aplicaciones web de California, E.U., reportan el hallazgo de una vulnerabilidad bautizada como “RIPlace”.

De ser explotada, la vulnerabilidad permitiría a los actores de amenazas esquivar las medidas de protección activas en un sistema usando una opción de “cambio de nombre” del sistema de archivos heredado en sistemas operativos Windows. Los expertos mencionan que este método de ataque apenas requiere un par de líneas de código para su ejecución.

Nir Gaist, fundador de Nyotron y líder de la investigación, menciona que la compañía ya ha reportado estas vulnerabilidades acorde a los parámetros establecidos por la comunidad de la ciberseguridad. Nyotron también ha publicado una herramienta gratuita para verificar si un dispositivo es vulnerable a este ataque.

Si bien este método no oculta el malware realmente, sí es posible utilizarlo para modificar los archivos del sistema sin llamar la atención de la mayoría de las herramientas de seguridad. “Es por esto que para los hackers podría ser útil durante un ataque de ransomware, completando el proceso de cifrado sigilosamente”, añade el experto en seguridad de aplicaciones web.

En una prueba de concepto, los expertos de Nyotron demostraron que un ransomware puede usar la vulnerabilidad RIPlace para infectar dispositivos protegidos con Windows Defender y otras soluciones como Symantec Endpoint Protection.

Hace unos meses también se reportó una vulnerabilidad similar en el software de algunas cámaras Canon. Los investigadores trataron de determinar si un actor de amenazas podría abusar del protocolo de transferencia de imágenes de la cámara para inyectar malware de cifrado en el sistema de forma sigilosa.

A pesar de que este ataque requería acceso físico al dispositivo, especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) consideran que esta es una muestra de la evolución del malware de cifrado y la capacidad de los actores de amenazas para comprometer cualquier dispositivo con conexión a Internet, por lo que también es necesario que los investigadores y hackers éticos encuentren el siguiente paso en el combate al malware de cifrado.