titulo

titulo

O ex especialista Patrick Wardle, da NSA, desenvolveu o RansomWhere, uma ferramenta gratuita de detecção de ransomware para a proteção dos sistemas Mac OS X.

O número de ataques baseados no Ransomware aumentou drasticamente e, a cada semana o criminosos do sub mundo do crime apresentam novas ameaças com funções improvisadas que estão causando perdas econômicas significativas em todas as indústrias.

A cada dia especialistas de segurança está detectando milhares de novas amostras de ransomware, e é necessária uma abordagem em múltiplas camadas para proteger os sistemas das ameaças emergentes. A abordagem tradicional baseada na assinatura, que é implementada por muitas soluções de antivírus, em muitos casos, não são efetivos contra um ransomware que muda rapidamente.

Muitos fabricantes de antivírus estão melhorando seus produtos ao implementar sistemas de detecção baseados em comportamento, e essas soluções monitoram atividades suspeitas como o acesso a um grande número de arquivos, o uso de bibliotecas de criptografia, e atividades de criptografia implementadas por processos não confiáveis. Os usuários de MAC agora possuem uma ferramenta defensiva no seu arsenal. É uma ferramenta genérica de detecção de ransomware chamada RansomWhere.

A ferramenta implementa sistemas de detecção baseado no comportamento de malware, especificamente desenhada para ransomware. Isso significa que ela continuamente monitora o sistema de arquivos para a criação de arquivos criptografados por processos suspeitos. A ferramenta foi desenvolvida por Patrick Wardle, um ex especialista da NSA que agora lidera um time de pesquisa na empresa Synack Security, informa o site securityaffairs.co.

“RansomWhere? detecta e bloqueia ransomware ao detectar processos não confiáveis que rapidamente criam arquivos criptografados. Isso é reativamente herdado, e como tal, o ransomware irá possivelmente criptografar alguns arquivos (idealmente apenas dois ou três), antes de ser detectado e bloqueado”, explica Wardle em seu blog. A ferramenta RansomWhere permite aos usuários rapidamente bloquear o processo que está realizando as atividades suspeitas, então os usuários decidem as ações a realizar para proteger os seus sistemas.

A ferramenta funciona baseada no conceito de “Confiança”, ela escaneia aplicativos MAC e binários que são assinados com o Apple Developer ID e não pelos Certificados Apple oficiais. O especialista destaca que a ferramenta não é efetiva se o ransomware abusar de binários assinados da Apple. Outra limitação é que a ferramenta herda confiança das aplicações que já estão presentes no sistema quando ela é instalada, e isso significa que se o sistema já estiver infectado o malware não poderá ser detectado.

O especialista demonstrou a eficiência do RansomWhere contra um número de ameaças, nelas inclusas o KeRanger e Gopher que são uma prova de conceito de ransomware desenvolvida por Pedro Vilaca, o ano passado. Por fim, a última limitação da ferramenta é a incapacidade de monitorar atividades em documentos fora do diretório home do usuário, e isso significa que ransomwares sofisticados podem mover todos os arquivos para fora do diretório e os criptografar.

Wardle destaca as limitações da ferramenta explicando como elas podem ser evitadas por atacantes. O hacker Vilaca já aperfeiçoou o seu PoC ransomware Gopher de forma a enganar o monitoramento realizado pela ferramenta.

fonte:
http://securityaffairs.co/wordpress/46534/breaking-news/ransomwhere-detection-tool.html