Emsisoft es un líder mundial en lo que respecta a la lucha contra el ransomware. Somos un socio asociado del proyecto No More Ransom. Brindamos servicios de descifrado personalizados para ayudar a las organizaciones afectadas por el ransomware a minimizar el tiempo de inactividad. Y nuestras herramientas de descifrado gratuitas han ahorrado a las víctimas de ransomware cientos de millones de dólares en pagos de rescate.

También reconocemos que detener el ransomware comienza con la protección del usuario. Es por eso que nuestras soluciones de protección cuentan con una gama de tecnologías específicas de ransomware que funcionan en sinergia para detectar de manera confiable el ransomware antes de que pueda cifrar sus archivos. Esto es particularmente importante ahora que las copias de seguridad ya no son la panacea del ransomware que alguna vez fueron, gracias al aumento de la doble extorsión.

En esta publicación de blog, exploraremos las capas de protección contra ransomware de Emsisoft y cómo funcionan para proteger a nuestros usuarios de familias de ransomware conocidas y desconocidas.

1. Detección basada en firmas

En el mundo digital, todos los objetos tienen atributos específicos que se pueden utilizar para crear una firma digital única. Cuando un objeto se identifica como malicioso, su firma se agrega a una base de datos de malware conocido, que las empresas de ciberseguridad utilizan para detectar posibles amenazas. Cuando su solución de protección Emsisoft encuentra un archivo en su sistema con una firma que coincide con una firma maliciosa conocida, el archivo se marca como una amenaza y se bloquea.

Nuestras bases de datos de firmas se actualizan constantemente para garantizar que nuestros usuarios estén protegidos contra amenazas emergentes. Gracias a nuestras redes de recopilación de inteligencia y nuestra asociación exclusiva con ID Ransomware, a menudo estamos entre los primeros en la industria en brindar detección basada en firmas para nuevas variantes de ransomware.

2. Detección basada en el comportamiento de Anti-Ransomware

Si bien la detección basada en firmas es excelente para detener el ransomware conocido, no puede detectar nuevas variantes de ransomware que nunca antes se habían visto en la naturaleza (y, por lo tanto, no existen en ninguna base de datos de firmas).

Aquí es donde entra en juego la detección basada en el comportamiento. La detección basada en el comportamiento, como el Bloqueador de comportamiento de Emsisoft, funciona detectando patrones de comportamiento inusuales y deteniendo los programas sospechosos antes de que puedan realizar cambios en su sistema. Nuestro Bloqueador de comportamiento incluye una capa Anti-Ransomware dedicada que busca el comportamiento específico del ransomware y detiene las amenazas antes de que puedan cifrar el primer archivo. Hay muchas acciones o combinaciones de acciones que podrían indicar la presencia de ransomware, incluido el cifrado de una gran cantidad de archivos, la eliminación de notas de rescate, intentos de cifrar o eliminar copias de seguridad y más.

3. Detección de Exploits

La cadena de ataque de ransomware a menudo comienza con la explotación de vulnerabilidades de seguridad en su sistema operativo o software. Después del compromiso inicial, los delincuentes suelen implementar malware de reconocimiento para aprender más sobre el entorno de destino, propagarse lateralmente y robar datos confidenciales antes de implementar el ransomware en la fase final del ataque.

Los sistemas de detección de exploits de Emsisoft interrumpen la cadena de ataque antes de que los malos actores puedan dominar su sistema. Lo logra evitando que los exploits inyecten código en programas externos para ejecutar cargas útiles dañinas y reduciendo las superficies de ataque de las aplicaciones comúnmente dirigidas (por ejemplo, evitando que Microsoft Office pueda ejecutar scripts de PowerShell peligrosos). La detección de exploits garantiza que el ransomware se detecte y bloquee en las primeras etapas del ataque, independientemente del método de infección, ya sea por correo electrónico, RDP o vulnerabilidades sin parchear.

4. Protección por contraseña

El ransomware generalmente se implementa algunos días, semanas o incluso meses después de que el sistema de destino se haya visto comprometido. Los atacantes utilizan este tiempo para realizar reconocimientos, establecer un punto de apoyo más sólido y preparar el entorno objetivo para maximizar el impacto del ataque. Parte de este proceso implica deshabilitar los procesos de seguridad, lo que garantiza que el ransomware podrá funcionar sin ser detectado y sin obstáculos cuando finalmente se implemente.

Las soluciones de Emsisoft cuentan con un sistema de autenticación que evita que los actores de amenazas desactiven su software antivirus. Una vez que se haya establecido una contraseña de administrador, se les pedirá a los usuarios que ingresen la contraseña cada vez que intenten deshabilitar o configurar nuestro software. De esta manera, los actores de amenazas no pueden cerrar nuestro software de seguridad, incluso si han logrado obtener acceso no autorizado a su red.

Si bien las contraseñas de administrador se pueden establecer localmente en los puntos finales, recomendamos encarecidamente utilizar la Consola de administración de Emsisoft. Consulte esta publicación de blog para obtener más información.

5. Sistema de alerta contra Ataque RDP

RDP es uno de los vectores de ataque de ransomware más comunes. Durante un ataque basado en RDP, los actores de amenazas generalmente buscan puertos RDP expuestos a Internet e intentan obtener acceso al sistema utilizando herramientas de fuerza bruta. Una vez que la cuenta se ha visto comprometida, el atacante puede hacer cualquier cosa dentro de los privilegios de la cuenta pirateada.

Las soluciones de Emsisoft ayudan a prevenir los atacantes RDP al monitorear el servicio RDP en tiempo real. Cuando se detectan varios intentos fallidos de inicio de sesión, nuestro sistema de alerta de ataque RDP notifica a los administradores, quienes pueden investigar y decidir si deshabilitar RDP en el dispositivo afectado. El estado del servicio RDP se puede ver fácilmente dentro de Emsisoft Management Console.

Consulte esta publicación de blog para obtener más información sobre cómo proteger RDP.

Conclusión

Las soluciones de Emsisoft cuentan con múltiples capas de tecnologías específicas de ransomware que trabajan juntas para detectar y detener el ransomware antes de que pueda cifrar sus archivos.

Es importante tener en cuenta que este artículo solo analiza las tecnologías específicas de ransomware de Emsisoft y no incluye todas las demás capas de protección que se encuentran en nuestro software, muchas de las cuales también pueden reducir directa o indirectamente el riesgo de infección por ransomware. Consulte esta publicación de blog para obtener un resumen completo de todos los elementos de seguridad en capas de nuestro software de protección.