Usando ESET Live Grid para luchar contra el ransomware

Las continuadas campañas de propagación de variantes de ransomware que venimos observando desde hace meses han provocado niveles de detecciones muy elevados en algunos países, niveles que aún no habíamos observado anteriormente en nuestros sistemas.

Estas detecciones pueden realizarse bien cuando ya se ha lanzado una firma que detecte las nuevas amenazas que se están propagando por una campaña en concreto, o bien usando un sistema de alerta temprana alimentado con información recopilada mediante el sistema ESET Live Grid.

Ciclo de propagación de una amenaza

Aquellos que estén acostumbrados a analizar malware o hacer el seguimiento de propagación de una amenaza en el tiempo, reconocerán un patrón que suele cumplirse a menudo. Cuando una nueva amenaza comienza a propagarse suele conseguir un buen puñado de sistemas infectados en las primeras fases de propagación para, llegado un punto, comenzar a decrecer conforme las soluciones de seguridad empiezan a mitigar estos ataques o los delincuentes preparan la siguiente campaña.

Un mecanismo tradicional en el que un antivirus necesite obtener la base de firmas capaz de identificar una nueva amenaza antes de poder reconocerla tardaría horas, cuando no días, en poder ser efectivo. Por eso mismo, hace bastante tiempo que el uso de ese sistema fue complementado por otros más avanzados que permitieran reducir la ventana de exposición de los usuarios.

Si analizamos por ejemplo las recientes campañas de propagación de JS/TrojanDownloader.Nemucod (que descargaba variantes de los ransomware TeslaCrypt y Locky), observamos cómo la detección de esta amenaza empezó a crecer de forma vertiginosa en las primeras horas hasta llegar a su máximo y empezar a decrecer para, seguidamente, comenzar de nuevo el proceso.

Además, en ocasiones los delincuentes suelen empezar a propagar sus amenazas a comienzos de semana, sabedores de que es cuando más correos pendientes acumulan los usuarios y es más factible cogerlos con la guardia baja.

El tiempo en contra

En situaciones como la que acabamos de comentar resulta vital empezar a detectar cuanto antes las nuevas amenazas que se están propagando. Para ello hace falta recopilar muestras de las variantes que los usuarios están recibiendo por correo electrónico, se descargan al visitar una web comprometida o terminan en el sistema usando cualquier otro vector de ataque.

Es en este punto cuando un sistema como ESET Live Grid cobra especial importancia, puesto que permite el envío de ficheros sospechosos a nuestros laboratorios centrales, donde la muestra se analizará y, en cuestión de minutos (en lugar de las horas que tardan en generarse un grupo de firmas) se lanza una actualización a los usuarios que tengan ESET Live Grid activado.

Hay que tener en cuenta que siempre existirá un pequeño grupo de usuarios expuestos al riesgo de quedar infectados durante esos minutos que tarda en realizarse el análisis de la muestra. No obstante, los datos que manejamos en nuestros laboratorios han demostrado que aquellos usuarios que tenían el sistema ESET Live Grid activado estaban protegidos frente a las amenazas emergentes bastante antes que aquellos que no lo tenían activado.

Habilitando y configurando ESET Live Grid

A pesar de que los instaladores de las soluciones de seguridad de ESET preguntan durante la instalación si el usuario desea activar esta funcionalidad, es posible que el usuario no la haya activado. Sin embargo, ESET Live Grid puede activarse en cualquier momento desde el menú de configuración avanzada (se puede acceder a él pulsando la tecla F5 en el interfaz del antivirus).

Una vez en las opciones de la configuración avanzada, tan solo deberemos acceder al apartado Herramientas > ESET Live Grid > Activar el sistema de reputación ESET Live Grid, tal y como podemos observar en la siguiente imagen:

Además, en este apartado de la configuración avanzada también podremos añadir exclusiones por si no queremos que se envíen ciertos tipos de ficheros para su análisis, ficheros como documentos de Office, PDF o imágenes, entre otros.

En las versiones Endpoint se puede utilizar la consola de administración remota para activar ESET Live Grid en todos los equipos gestionados remotamente. Para ello, tan solo deberemos acceder al apartado Admin > Políticas y seleccionar la política que se aplique en aquellos equipos en los que queramos activar ESET Live Grid.

A continuación, tan solo deberemos seleccionar la opción Editar del menú desplegable de Políticas y acceder al apartado Configuración. En este apartado podremos Activar el sistema de reputación ESET Live Grid en todos los equipos que hayamos seleccionado.

Si no disponemos de la consola de administración remota, siempre podremos acceder a los endpoint uno a uno y activarlos manualmente accediendo a la Configuración Avanzada (pulsando la tecla F5) y accediendo a Herramientas > ESET Live Grid > Activar el sistema de reputación ESET Live Grid.

Conclusión

El uso de un antivirus bien configurado y actualizado puede reducir notablemente las infecciones producidas por las variantes de ransomware que vayan apareciendo. Sin embargo, no debemos descuidar otras medidas que pueden ayudar a mitigar de forma efectiva este tipo de amenazas.

Medidas como disponer de una copia de seguridad actualizada y desconectada de los equipos para evitar que también se vea afectada, mantener el sistema operativo y las aplicaciones actualizadas, o usar herramientas específicas como Anti Ransom pueden suponer la diferencia entre seguir accediendo a nuestros ficheros de forma habitual o encontrarnos con que estos han sido cifrados y son inaccesibles.

En futuros posts iremos detallando otras medidas que podemos adoptar para luchar de forma efectiva contra el ransomware, por lo que os recomendamos que permanezcáis atentos a nuestro blog.

Josep Albors