Aparece una herramienta para detectar ransomware en Mac OS X

El ransomware en Mac OS X parece de momento un problema menor para los usuarios del sistema operativo de Apple (no hay que olvidar que se puede instalar Windows y Linux en los ordenadores Mac), sin embargo, algunos expertos llevan tiempo avisando de que el malware para ese sistema operativo podría explotar en este 2016.

Aunque el número de malware que puede afectar a Mac OS X es todavía muy reducido comprado con Windows, este empieza a no ser un tema baladí. Con KeRanger y Ransom32 tenemos ransomware que afecta o puede afectar a este sistema, y lo que es peor, cada ransomware tiene su propia vía para ser subsanado (si es que hay alternativa al pago). Con el fin de evitar la pérdida de los ficheros por culpa de culpa de un malware de este tipo, el investigador en seguridad Patrick Wardle, ex empleado de la NSA, ha creado una herramienta llamada RansomWhere?.

RansomWhere? es una aplicación “inteligente” capaz de identificar el comportamiento de un ransomware a través de la detección de procesos no confiables de cifrado rápido de ficheros, para luego detener dichos procesos y alertar al usuario del peligro que está padeciendo. RansomWhere? intenta ser una herramienta genérica de detección de ransomware a través del descubrimiento de comportamientos que no son normales por parte del usuario, a través de la monitorización continua del sistema de ficheros local del usuario.

Para realizar su función, RansomWhere? escanea las aplicaciones instaladas y los binarios de Mac OS X para comprobar si están firmadas con un ID de Desarrollador de Apple y no por los certificados oficiales del gigante de Cupertino. En caso de detectar un proceso sospechoso, lo suspende y alerta al usuario a través de un cuadro de texto emergente para preguntarle si quiere seguir con el proceso o bien terminarlo. Según Patrick Wardle, su aplicación ha funcionado con éxito a la hora de detectar KeRanger y Gopher, siendo este último una prueba de concepto de ransomware para Mac OS X desarrollado por Pedro Vilaca.

Pese a este avance, el mismo investigador ha reconocido que su herramienta no es de fiar al 100% y que los hackers podrían averiguar como saltársela. Además presenta las siguientes limitaciones:

RansomWhere? podría no ser capaz de detectar un malware que se ejecute o explote a través de un fichero o una aplicación debidamente firmada por Apple.
Empieza a actuar después de que se haya cifrado una cantidad de ficheros, por lo que no evita totalmente la pérdida de datos, entre los cuales podrían estar algunos de los más importantes para el usuario.
Los ficheros que están situados fuera del directorio del usuario no están protegidos, por lo que no evita el cifrado de estos a través de un ransomware sofisticado que trabaje desde la raíz para terminar cifrándolos.

El propio Pedro Vilaca ha modificado Gopher con tan solo añadirle diez líneas de código para que pueda aprovechar las limitaciones de RansomWhere?.

RansomWhere? no evita de tomar precauciones

A principios de mes publicamos un artículo sobre las medidas a tomar para prevenir el ransomware. Aunque muchas de esas medidas solo se pueden aplicar a Windows, otras son más bien genéricas con respecto al sistema operativo. Por otro lado insistimos en la realización de copias de seguridad con regularidad para así minimizar el impacto de un malware de este tipo en caso de ser infectado.

Recientemente publicamos un estudio en el que se podía detectar un exceso de confianza por parte de los usuarios de Mac en la seguridad de su sistema. Quizá ya sea hora de empezar a cambiar este comportamiento para evitar las infecciones por ransomware en Mac OS X.

Fuente: muyseguridad

- Todos los logos o imagenes mencionados en esta web son propiedad de sus empresas correspondientes -

Aparece una herramienta para detectar ransomware en Mac OS X

RansomWhere? no evita de tomar precauciones

Buscador

Redes Sociales

Laboratorio Linux