Echando un ojo al registro de eventos de Windows puedes descubrir si has sido víctima de un ciberataque
El registro de eventos es una herramienta básica e integrada en los sistemas operativos Windows 10 y 11. Como su propio nombre indica, registra y permite revisar procesos y actividades que está llevando a cabo el sistema o un programa.
Aunque las personas no expertas en informática, probablemente, no entiendan mucho lo que están viendo en pantalla si abren el registro de eventos, conocer un poco a qué se refiere cada entrada puede servir para tener una idea de cómo está funcionando el ordenador y si hay algún programa haciendo un uso indebido de recursos, por ejemplo.
Pero no solo eso. Echar un vistazo al registro también puede servir para cazar un ciberataque si estamos siendo objetos de uno, tal y como ha recordado recientemente el Centro de respuesta a emergencias informáticas de Japón (JPCERT/CC).
Esta institución nipona ha compartido una lista de trucos para poder pillar a un malware in fraganti mientras intenta entrar sin permiso a nuestro sistema. Estos trucos son, simplemente, entradas o códigos en el registro que nos podemos aprender para, en caso de reconocerlos en nuestro registro, darnos cuenta de que algo va mal.
Como indican desde el Centro, algunos virus antiguos como WannaCry o Petya eran capaces de pasar inadvertidos para el registro, por lo que esta técnica no era efectiva. Sin embargo, en la actualidad es muy raro no encontrar rastro en el registro, por lo que revisarlo sí que se vuelve un comportamiento más útil en cuanto a ciberseguridad.
Así pues, el estudio compartido por el JPCERT analiza cuatro tipos de registros de eventos de Windows: registros de aplicaciones, de seguridad, del sistema y de configuración. Estos registros suelen contener rastros que dejan ataques de ransomware, que podrían revelar los puntos de entrada utilizados por los atacantes y su «identidad digital».
Virus o malware moderno como pueden ser Kkira, Lockbit3.0, HelloKitty, Abysslocker, Avaddon o Bablock dejan rastros en el registro de Windows, similares a los que comentamos a continuación.
Migas de pan
Los rastros en el registro (o migas de pan que se les caen de las manos a los ciberdelincuentes con sus virus) que destaca el informe del JPCERT son los siguientes, resaltando en negrita el nombre de cada ransomware:
- Conti: Cuando se ejecuta Conti, se registra una gran cantidad de registros relevantes (ID de evento: 10000, 10001) en un corto período de tiempo.
- Phobos: deja rastros al eliminar copias de seguridad del sistema (ID de evento: 612, 524, 753). 8base y Elbie generan registros similares.
- Midas: cambia la configuración de red para propagar el virus, dejando a su paso el ID de evento 7040 en los registros.
- BadRabbit: registra el ID de evento 7045 al instalar un componente de cifrado.
- Bisamware: registra el inicio (1040) y el final (1042) de una transacción de Windows Installer.
- Shade, GandCrab, AKO, AvosLocker, BLACKBASTA y Vice Society, dejan rastros muy parecidos (ID de evento: 13, 10016), como puede verse en la siguiente imagen.
Para que te quede más claro cómo se ven exactamente cada una de estas entradas en el registro, puedes entrar en el post del JPCERT, titulado «El registro de eventos habla mucho: cómo identificar ransomware operado por humanos a través de los registros de eventos de Windows», donde se acompaña de imágenes cada uno de estos ransomwares, siendo algo similar lo que tú verías en tu registro de ser afectado por uno de estos softwares maliciosos.
Recuerda que el mero hecho de identificarlos no te va a librar de sus efectos; por ello, asegúrate de tener una herramienta antivirus potente en funcionamiento.
Entradas
