Modelos predictivos e I.A. anticipan Anatova con 1042 días

  • 0
  • 6 febrero, 2019

anatova

Desde Enero de este año, se han visto varias noticias en referencia a una amenaza llamada Anatova.
Muchos investigadores y analistas la han considerado como sofisticada.
Varios fabricantes hicieron eco de la noticia:

Blog de McAfee:  https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/

TechRadar:  https://www.techradar.com/news/anatova-is-a-nasty-new-ransomware-that-targets-gamers

SCMedia:  https://www.scmagazine.com/home/security-news/fresh-faced-anatova-ransomware-created-by-skilled-developers-researchers-warn/
Al ser verificado el HASH original de la amenaza en diferentes blogs de investigación, la mayoría de los productos de seguridad tradicional de Endpoint lo han detectado:
SHA-256: 170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0

Nombre de archivo: CallOfCthulhu.exe

Tamaño del archivo: 307 KB

En una prueba de laboratorio se decidió empaquetar esta amenaza (Con un empaquetador sencillo, que se consigue fácilmente en Internet de forma gratuita) como parte de una prueba para verificar como se comportan los productos de Endpoint tradicionales frente a esas modificaciones.

SHA-256: 83A898C022B56161206394B49CF6B09FB0F0F174EB75848FAB08828EA11E1384

Nombre de archivo: Anatova_Protected.exe

Tamaño del archivo: 1,732 KB

Se comprobó una vez más que la mayoría de productos tradicionales de Endpoint no detectan la amenaza después del proceso de empaquetado, siendo vulnerables al ataque.
Y los productos de Endpoint que muestran la detección, lo hacen porque identifican en sus firmas el empaquetador utilizado mas no la amenaza, conllevando eso a falsos positivos de archivos legítimos empaquetados con dicha herramienta.
Se probó este archivo modificado de Anatova Ransomware con CylancePROTECT y los resultados muestran que Cylance está previniendo esta amenaza sofisticada desde marzo de 2016, sin actualizaciones, sin conexión a Internet y ejecución previa:

SHA256: 83A898C022B56161206394B49CF6B09FB0F0F174EB75848FAB08828EA11E1384

BLOCK -0.998353 : OFFLINE by Dalek model, agent 1450 and above
(Publicado 2017-02-06) 729 dias hasta la fecha.

BLOCK -0.889682 : OFFLINE by Cyborg model, from agent 1380 to 1440
(Publicado 2016-03-29) 1042 dias hasta la fecha.
Predicción: 29 de marzo de 2016 (1042 días antes de la publicación de la noticia)

Este es otro ejemplo del poder de la prevención, modelos predictivos y cómo la Inteligencia Artificial puede hacer posible la prevención.

Si tiene alguna pregunta, no dude en comunicarse con cualquiera de nuestro equipo.

Por: Julian Jimenez Yory – jjimenezyory@ransecurity.com

Leave a Reply

CONTACTO

E-mail: Soporte técnico: helpdesk@ransecurity.com Info: expertos@ransecurity.com
RANSecurity Argentina: (+54 11) 5353 9999
RANSecurity Chile: Tel: (+562) 3223 9532
RANSecurity Perú: Tel: (+51 1) 711 4764