Ransomware WastedLocker abusa de función de Windows para evadir su detección

El ransomware WastedLocker está abusando de una función de administración de memoria de Windows para evadir la detección por parte del software de seguridad. En las últimas semanas, el WastedLocker Ransomware se ha hecho notorio después de ser atribuido al grupo de piratería Evil Corp como mecanismo utilizado para atacar a Garmin.  Investigadores de seguridad de Sophos […]

El ransomware WastedLocker está abusando de una función de administración de memoria de Windows para evadir la detección por parte del software de seguridad.

En las últimas semanas, el WastedLocker Ransomware se ha hecho notorio después de ser atribuido al grupo de piratería Evil Corp como mecanismo utilizado para atacar a Garmin.

 Investigadores de seguridad de Sophos explican cómo WastedLocker usa el Administrador de caché de Windows para evadir la detección.

Para aumentar el rendimiento de Windows, los archivos de uso común o los archivos especificados por una aplicación se leen y almacenan en la memoria caché de Windows, que utiliza la memoria del sistema.

Si un programa necesita acceder a un archivo, el sistema operativo verificará si está en el caché y, de ser así, lo cargará desde allí. Como los datos se almacenan en la memoria caché, es mucho más rápido acceder a sus contenidos que leerlos desde una unidad de disco.

Para evitar la detección mediante soluciones anti-ransomware, WastedLocker incluye una rutina que abre un archivo, lo lee en el Administrador de caché de Windows y luego cierra el archivo original.

Como los datos ahora se almacenan en el Administrador de caché de Windows, WastedLocker cifrará el contenido del archivo almacenado en la memoria caché, en lugar del archivo almacenado en el sistema de archivos.

Cuando se modifican los contenidos de un archivo almacenado en la memoria caché de Windows, se vuelven “sucios”. Cuando se ensucian suficientes datos, el Administrador de caché de Windows volverá a escribir los datos en caché cifrados en sus archivos originales.

Como el Administrador de caché de Windows se ejecuta como un proceso del sistema, el software de seguridad verá la escritura de los datos cifrados de un proceso de Windows permitido y legítimo.

Debido a esto, las detecciones de comportamiento en el software anti-ransomware verán un proceso permitido escribiendo los datos cifrados y no detectarán que algo está mal.

Este método evita de manera efectiva los módulos de protección contra ransomware de una solución de seguridad y permite que WastedLocker cifre todos los archivos.