Los ataques de ransomware perpetrados por humanos se pueden caracterizar por un conjunto de métodos y comportamientos. Esta es la premisa utilizada por los investigadores Ruofan Wang y Kelly Kang, del equipo Microsoft 365 Defender Research Team, para desarrollar esta nueva característica. Se trata de un sistema basado en la nube que utiliza técnicas de «machine learning» para predecir si un dispositivo está en riesgo; en cuyo caso bloqueará los siguientes pasos del atacante.

Flujo de trabajo de la protección basada en IA. Fuente: Microsoft

Cómo funciona

Esta protección adaptable se basa en el modelo actual de protección en la nube, siendo más inteligente y rápida que esta. Por contextualizar, en el flujo de un ataque no todos los binarios implicados son maliciosos, y los indicadores generados por estos serían vistos de baja prioridad. Añadir una capa extra de protección adaptable por IA permitiría al sistema detectar comportamientos inusuales, aportando tiempo extra a los equipos de respuesta para poder neutralizar ataques.

Si existe riesgo en un dispositivo por encima de cierto umbral, la protección en la nube cambia a bloqueo agresivo. En este modo se podrían llegar a bloquear por precaución ficheros o procesos que bien podrían no ser maliciosos. Al puntuarse y actualizarse el dispositivo en tiempo real, se reduce la agresividad una vez el dispositivo ya no se encuentra en peligro, reduciendo de esta manera los falsos positivos y evitando afectar a la experiencia de usuario.

Un ejemplo práctico sería el ejemplo del ransomware Ryuk, del que hemos hablado previamente en este blog. Este malware, distribuido a través de Trickbot, es tan polimórfico que emplea ligeras modificaciones para evadir coincidencias de firma y evitar detecciones por métodos tradicionales. En este punto, el conocimiento en tiempo real del estado del dispositivo permitiría a este sistema detectar y bloquear la amenaza.

Hipotéticamente, en ataques donde las actividades de ataque de etapa inicial a intermedia no se detectan ni bloquean, la protección adaptativa impulsada por inteligencia artificial puede demostrar un gran valor cuando se llega la payload definitiva del ransomware.

Esta característica de IA adaptativa para detección temprana de ransomware se encuentra disponible para clientes de Microsoft Defender para Endpoint que dispongan de la protección basada en la nube activada.

Más información:
AI-driven adaptive protection against human-operated ransomware
Microsoft Defender is getting AI-powered anti-ransomware protection