30 abr. 2016

Cylance, un nuevo jugador en la detección de ransomware en tiempo real

Combinando Inteligencia Artificial y Aprendizaje de Máquina, la solución Cylance Protect neutralizó ransomware diseñado para encriptar el disco duro con el fin de cobrar un rescate por la recuperación de los datos. Simultáneamente, Trend Micro permitió la instalación y ejecución del mismo ransomware, sin siquiera detectarlo. "Hemos desarmado el ADN del malware", asegura la empresa.
La prueba fue realizada en tiempo real, en el mismo sistema, con idénticas máquinas virtuales (VM), utilizando los mismos archivos descargados minutos antes desde Internet. En rigor, la comparación pudo haber sido realizada con cualquier otro proveedor que, al igual que Trend Micro, se basa en las firmas de malware. La implicación es -como explicó Cylance durante el evento realizado en Londres el 28 de abril- "estamos presenciando el ocaso de las firmas".

La demostración, a la que asistió Diario TI, estuvo a cargo de Lloyd Webb, Sales Engineering Director en Cylance. El experto habilitó dos máquinas virtuales idénticas, presentadas en pantalla a los asistentes, en las que copió ejecutables de ransomware subidos minutos antes a Internet por ciberdelincuentes. Una de las VM estaba protegida por Trend Micro, y la segunda por Cylance.

El resultado fue inmediato al hacer doble clic en los archivos ejecutables: en la VM dotada del antivirus de Trend Micro apareció una dramática ventana ilustrada por una calavera y texto rojo intermitente, donde se advertía al usuario que sus archivos habían sido encriptados por un sistema de cifrado de rango militar, y que su recuperación implicaba el pago de "US$ 100 o EUR 100", mediante una transacción en Bitcoin – criptodivisa no trazable. La VM protegida por Cylance, en tanto, presentó una ventana generada por el sistema operativo Windows, donde se indicaba que el archivo no podía ser ejecutado. Una ventana secundaria, esta vez de Cylance, notificaba en la barra de tareas que el ransomware había sido puesto en cuarentena.

Webb repitió el procedimiento dos veces más, obteniendo exactamente el mismo resultado. Si la primera extorsión, donde al ciberdelincuente le daba igual recibir US$100 o EUR100, ya había motivado sonrisas entre los asistentes, la segunda ventana hizo difícil contener la risa; la extorsión era firmada por el "Departamento de Protección Antimalware del Ministerio de Seguridad de la Información" sin indicarse, como era de esperar, el país de este supuesto ministerio.

En noviembre de 2015, Cylance firmó un acuerdo con Dell para la seguridad avanzada de endpoints. Actualmente, Dell es el único fabricante de PC en ofrecer una suite de seguridad integral que incorpora las tecnologías de inteligencia artificial de Cylance.

Fuente: DiarioTI

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!