Detección de amenazas de Ransomware en redes empresariales EDR

Abstract

Con el aumento del uso de las tecnologías en todos los aspectos del día a día, sucede a la vez un aumento de las amenazas hacia estas y, entre ellas, una de las principales amenazas es el ransomware, un tipo de malware que bloquea equipos o cifra información impidiendo el acceso a ella y pide un rescate económico. El daño que provocan estos ataques es cada vez mayor, con objetivos como las Small and Medium Enterprises (SME), que tienen medios más limitados para protegerse o luchar contra estas amenazas. Es por ello que este estudio arranca con la idea de desarrollar una herramienta de fácil acceso e implantación que sirva de solución contra ataques ransomware. En este trabajo se presentan tres partes. La primera, la construcci´on de un laboratorio de análisis de malware para la ejecución y análisis de muestras de ransomware en un entorno seguro y de fácil despliegue. La segunda, a partir de información de 15352 muestras de ransomware y de programas benignos, el desarrollo de dos dataset de una extensión considerablemente mayor a los encontrados en otros trabajos relacionados con la detección de malware. Para construir estos datasets se ha hecho uso de las llamadas a la Application Programming Interface (API) de Windows de las muestras analizadas, que reflejan el comportamiento del software y su interacción con el sistema. Después de la limpieza de los datos y la selección de características, el primer dataset consta de 714 muestras y el segundo de 6630. La tercera y última parte, el desarrollo de un modelo de inteligencia artificial utilizando diferentes algoritmos de aprendizaje automático capaz de identificar muestras de ransomware, alimentado por los datasets mencionados previamente. Los resultados varían dependiendo del algoritmo utilizado y el dataset en el que se aplica, llegando a conseguir una precisión del 98 % y una exactitud del 97 % haciendo uso del algoritmo Random Forest (RF) sobre el dataset de mayor extensión.

Due to the increasing use of technologies in everyday life, there is an increase of threats against them and one of the main threats is ransomware, a malware that blocks the device or encrypts its information, preventing the accesss to it and then asks for an economic ransom. The damage caused by these attacks is increasingly growing, with targets such as SME, which have limited resources to deal with these threats. Consequently, this study starts with the idea of developing a simple tool with easy access to detect ransomware attacks. This work is threefold. The first part involves the construction of a malware analysis laboratory to execute and analyse ransomware samples in a safe and simple to deploy environment. The second part, based on information of 15352 ransomware and benign software samples, deals with the development of two datasets of a considerably larger extension than those found in other studies related to malware detection. To build both datasets we use Windows API calls made by the analysed samples, which reflect software behaviour and system interaction. After the cleanup of data and feature selection, the first dataset is made up of 714 samples and the second one 6630. The third and last part involves the development of an artificial intelligence model, feeding the datasets to it and using various machine learning algorithms that are able to identify ransomware among the samples. The results are different depending on the machine learning algorithm and the datasets used. The best results obtained are 98 % accuracy and 97 % precision using the RF algorithm on the largest dataset.