WithSecure (anteriormente conocida como F-Secure Business) ha presentado una solución de seguridad que se inspira en el concepto de sandbox, pero utiliza un enfoque nuevo para anular los cambios realizados por ransomware y otras amenazas.
Las sandbox son entornos aislados que permiten ejecutar código desconocido para verificar su impacto en un sistema. Por ejemplo, Windows Sandbox es una solución propuesta por Microsoft e integrada en las últimas versiones del sistema operativo que permite evitar modificaciones potencialmente sospechosas.
WithSecure ha desarrollado una tecnología de sandbox que permite neutralizar los cambios realizados por malware, como un ransomware.
Muchas soluciones de protección de endpoints utilizan la función de Copia de sombra (Shadow Copy) de Windows. Sin embargo, muchos ransomware desactivan esta función eliminando las copias de los datos almacenados en la máquina en uso. El enfoque de WithSecure es nuevo, ya que solo realiza una copia de seguridad.
Activity Monitor, es el nombre de la solución desarrollada por WithSecure, diseñada para hacer que las funcionalidades de una sandbox sean más accesibles: crea copias de seguridad selectivas del sistema y los datos, permitiendo que el código se ejecute en un sistema mientras la sesión se monitorea constantemente.
Cuando Activity Monitor detecta cambios que pueden ser peligrosos, bloquea los procesos maliciosos y utiliza las copias de seguridad creadas anteriormente para restaurar la sesión al estado en el que se encontraba antes de la ejecución del código malicioso.
La idea detrás de Activity Monitor, según Broderick Aquilino, Investigador Principal de WithSecure, es inspirarse en el funcionamiento de las sandbox superando las múltiples limitaciones de estas últimas, incluyendo el consumo importante de recursos de la máquina.
Según una investigación elaborada por la Agencia de la Unión Europea para la Ciberseguridad, las infecciones por ransomware han costado hasta 18 mil millones de euros en todo el mundo en 2021.
La mayoría de los ransomware secuestran los datos de las víctimas, pidiendo un rescate económico para que la víctima pueda recuperar sus datos. Activity Monitor está diseñado para detectar este tipo de cambios y, una vez detectados, los interrumpe y restaura los datos anulando los efectos de la infección.