Análisis de criptografía usada por ransomware mediante instrumentación dinámica de binarios
El ransomware es un tipo de malware que impide el acceso a los datos de la víctima. El ransomware se ha convertido en una de la mayores amenazas en la actualidad, adentrándose en los dispositivos de las víctimas a través de ingeniería social o simplemente mediante publicidad maliciosa. El ransomware puede dejar a las empresas sin su información más importante o incluso bloquear su producción ocasionando muchas pérdidas de dinero. Su creación no es relativamente difícil, ya que existen librerías en Windows que facilitan su construcción, por lo que la rentabilidad es máxima, ya que no requiere un esfuerzo enorme desarrollarlos y una parte de las víctimas acaba pagando el rescate pedido por recuperar su información. En este trabajo se realiza un análisis de la criptografía utilizada por el ransomware mediante técnicas de instrumentación dinámica de binarios. Así, observando las llamadas al sistema se pretende conocer características de la criptografía usada por el ransomware. Para ello, se han estudiado 99 muestras de diversas familias a lo largo de los últimos años. El objetivo es reconocer si existe algún tipo de preferencias en la criptografía usada por el malware, como en los tipos de cifrado o en las longitudes de las claves utilizadas. Los resultados muestran que el 40.4% de las muestras de ransomware analizadas utilizan librerías de cifrado de Windows y que más de las mitad de los algoritmos usados tanto para la generación de claves como para el cifrado de los archivos son de tipo AES, siendo las parte restante de tipo RSA.
Más información: Memoria TFM, presentación.
Alumno: Ignacio Samuel Crespo Martínez
