Ransomware-attacker har plågat organisationer under de senaste åren och orsakat avsevärda ekonomiska förluster. För att hjälpa organisationer att hantera ransomware och andra hot har WithSecure™ (tidigare känt som F-Secure Business) utvecklat en ny teknik som i huvudsak kan ångra den skada som skadlig programvara kan orsaka.
Tekniken, kallad Activity Monitor, utvecklades för att göra egenskaperna med ”sandboxing” mer tillgängliga. Sandlådor är isolerade testmiljöer som kör okänd kod för att se hur den påverkar ett system eller data. Eftersom sandlådor kör kod isolerat, så kan de på ett säkert sätt verifiera om koden är harmlös eller skadlig.
Istället för att köra kod i en isolerad miljö skapar Activity Monitor selektiva säkerhetskopior av systemet och data, och låter sedan koden köras på ett system medan sessionen övervakas. Om Activity Monitor upptäcker ändringar som kan vara skadliga, blockerar den processerna och använder säkerhetskopiorna för att återställa sessionen till det tillstånd den var i innan den körde den skadliga koden.
Enligt WithSecure™ Lead Researcher Broderick Aquilino är sandlådor ett säkert och tillförlitligt sätt att testa skadlig programvara, men med vissa begränsningar som Activity Monitor utformades för att övervinna.
– Analysen som tillhandahålls av en sandlåda visar en mycket omfattande bild av den skadliga programvarans beteende men förbrukar samtidigt mycket resurser, vilket begränsar dess användning, säger Aquilino. Med Activity Monitor övervann vi dessa begränsningar genom att återskapa de funktioner som sandlådor erbjuder snarare än hur de arbetar. Nu kan vi skapa skyddsmekanismer som kan föra ut dessa funktioner till fler organisationer.
Tekniken tillhandahåller ett nytt verktyg för att bekämpa ransomware-infektioner, vilka vissa källor uppger har kostat organisationer över hela världen så mycket som 18 miljarder euro, fram till 2021.* De flesta ransomware krypterar offrets data och erbjuder sedan dekrypteringsnycklar i utbyte mot en lösensumma. Activity Monitor är utformad för att upptäcka dessa typer av ändringar. När krypteringsprocesserna detekteras avbryts de och data återställs till dess okrypterade tillstånd.
Även om återställning av ransomware-infektioner är ett uppenbart exempel på dess värde, förväntar sig WithSecure™ Intelligence Vice President Paolo Palumbo att tekniken kommer att ge många ytterligare fördelar för organisationer.
– Detta tillvägagångssätt gör mycket kraftfulla detektionsfunktioner mer effektiva så att de kan användas på nya sätt. Effektivitet är mycket viktigt för säkerheten för att säkerställa att våra lösningar ger organisationer praktiskt och effektivt skydd utan att hindra dem från att utföra sitt jobb eller uppnå sina affärsmål. När vi utvecklar nya applikationer och funktioner med den här tekniken, så förväntar vi oss att den möjliggör bättre och effektivare försvarsmekanismer för våra kunder säger han.
Teknikens första implementering i en och samma lösning, Server Share Protection, finns nu tillgänglig som en del av WithSecure™ Elements Endpoint Protection for Servers.
Mer information finns på:
Denna forskning stöddes av TRUST aWARE, ett projekt finansierat av Europeiska unionens Horizon 2020 Research and Innovation Program under bidragsavtal nr 101021377.
