Latch ARW: Una nueva herramienta contra el Ransomware

Resultado de imagen de Latch ARWEl ransomware sigue siendo un gran problema entre los usuarios de sistemas Microsoft Windows. Con la simple idea de ser un programa que se ejecuta con los privilegios de la cuenta del usuario para buscar todos los documentos y cifrarlos, ha hecho de la extorsión un verdadero negocio, llegando a afectar a empresas y organizaciones como Hospitales. En ElevenPaths hemos estado trabajando en cómo poder usar nuestras tecnologías para ayudar a los usuarios con esta labor, y durante el pasado Security Innovation Day 2016 anunciamos Latch ARW para proteger las carpetas con documentos importantes dentro de un sistema Microsoft Windows contra los ataques del ransomware.

El concepto es sencillo y se basa en la idea de proteger carpetas utilizando Latch como 2º Factor de Autorización para permitir que el documento sea accesible o no por los programas – y por ende por cualquier programa malicioso como un ransomware -. Esta idea no es nueva, y ya en el primer Latch Plugin Contest hubo una aproximación a la solución con LtCsSecure, que implementaba una primera idea sobre este concepto.
Seguimos con esa idea, y desde el laboratorio de ElevenPaths se estuvo trabajando en una PoC en la que se utilizaba un servicio que daba y quitaba los permisos al usuario controlados por medio del estado de un Latch. Es decir, cuando el usuario quería acceder a un documento, le tenía que pedir a un servicio que le diera los permisos y este servicio comprobaba antes si el Latch estaba abierto o cerrado.

Latch ARW

La idea anterior funcionó bastante bien, pero no acaba de tener la usabilidad y consistencia que buscábamos para esta herramienta, pero nos sirvió de acicate para terminar haciendo Latch ARW. En este caso la aproximación es distinta, ya que en lugar de jugar con los permisos, Latch ARW funciona como un driver de Microsoft Windows en modo kernel que monitoriza las operaciones de I/O para identificar si se producen sobre una carpeta protegida y si son de escritura o borrado. El driver comunica a su vez con un servicio de Microsoft Windows que se encarga de consultar el estado de la autorización contra los servidores de Latch y llevar un inventario de carpetas protegidas.
El interfaz de usuario de pareo y despareo, y proteger y desproteger una carpeta está integrado en el Explorador de Microsoft Windows. Manejándose, de forma sencilla mediante menús contextuales directamente sobre las carpetas. Con esta arquitectura nos quedamos muy satisfechos del resultado que funciona tal y como se puede ver en el siguiente vídeo.
Si os fijáis en el proceso que se muestra en el vídeo, una vez que las carpetas están protegidos con Latch, los archivos están disponibles para lectura, pero no para borrado o escritura, lo que hace que el proceso sea bastante usable. Además, si un ransomware quisiera quitar la protección de Latch ARW, no podría hacerlo porque está protegido por el propio Latch, así que si el usuario no abre el pestillo el documento está a salvo.
Pruebas en campo de batalla real

Por supuesto, quisimos probarlo en un entorno real, así que le lanzamos una decena de muestras de ransomware para ver el comporamiento de Latch ARW con todos ellos y el resultado fue más que satisfactorio, ya que ninguno fue capaz de tocar ni uno solo de los documentos que estaban en las carpetas protegidas.
Una opción más que interesante es proteger las carpetas donde guardas tus copias de seguridad con Latch, ya que puedes de esta forma controlar en todo momento que nadie pueda escribir en ellas. Cuando llegue el momento de hacer una nueva copia de seguridad, abres el pestillo, la haces, y vuelves a cerrar el pestillo después para que todo siga protegido.
Latch ARW va a estar disponible en unos días. Es una herramienta gratuita como Latch para Windows o Latch para WordPress, así que podrás usarlo. Aún está en fase beta, por lo que si localizas cualquier cosa te agradeceremos que nos lo comuniques a través de nuestra Comunidad de ElevenPaths.  Y si te animas con nuevas ideas, ya sabes que hemos abierto una nueva convocatoria del Latch Plugin Contest.
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s