Heldroid : fast and efficient linguistic based ransomware detection

In every era, there has always been a slice of society devoted to deception and subtlety. Sadly, but inexorably, progress in technology has changed the approach of criminals to thievery and blackmailing. In our time, information is the real merchandise and it is thus subject to theft as any other goods: credit card numbers, cryptocurrency and illegal digital material are on the top of the list. Since information is so important, it can also be used to blackmail people. The most recent trend consists in deying victims access to their own les and requiring a relatively large amount of money to restore data back to normal. Applications exhibiting this kind of behaviour have been unsurpisingly named ransomware and their keen already produced millions of dollars worth of losses in the past two years. Since they exploit social engineering, there isn't any suitable form of prevention apart from backing up data frequently. Recovery tools may have worked in the past, but as attacks become more and more aggressive and sophisticated, they are not future proof. Motivated by an in-depth analysis of existing ransomware, the fallacy of currently available detection methods and the absence of any consistent prevention technique, we devised Heldroid, an e fficient, fully automated and learning-based approach aimed at recognizing ransomware proactively. We built it by rst considering the building blocks of ransomware attacks and then composing them into a tool that actually percieves the intent behind an application behaviour. Our results show that Heldroid is able to correctly identify never-seen-before threats with high precision and speed.

In ogni periodo storico, è sempre esistita una nicchia della societ a devota all'inganno eal sotterfugio. Purtroppo, l'inesorabile progresso tecnologico ha al tempo stesso cambiato sia le nostre vite che l'approccio del crimine organizzato verso il furto e la minaccia. Nell'era attuale, l'informazione costituisce la vera merce di scambio e si trova quindi ad essere oggetto di ladrocinio come ogni altro bene: numeri di carta di credito, criptovalute e materiali digitali illegali si trovano in cima alla lista. Data l'importanza dell'informazione, questa pu ò essere usata anche come oggetto di ricatto. Di recente, il nuovo trend del cyber-crimine tende a bloccare i dispositivi delle vittime e a cifrarne permanentemente i file, chiedendo in cambio cospicue somme di denaro per riparare il danno causato. Le applicazioni che adottano questo comportamento sono state denominate, con poca fantasia, ransomware. Negli ultimi anni, i ransomware hanno causato un danno economico totale pari a svariati milioni di dollari, solo considerando gli attacchi di minore rilevanza. Inoltre, dato che il maggior vettore d'attacco sfrutta tecniche di ingegneria sociale, non esiste alcun vero mezzo di prevenzione se non un backup frequente dei propri dati. I tool di recupero che hanno funzionato fi n'ora diventeranno a breve obsoleti a causa degli attacchi sempre pi ù aggressivi e so fisticati. Motivati da una profonda e dettagliata analisi dei ransomware conosciuti, dalla fallacia degli attuali mezzi di detection e dall'assenza di alcuna tecnica di prevenzione coerente, abbiamo ideato Heldroid, un sistema e fficiente, completamente automatico e basato su machine-learning il cui scopo consiste nell'identi care ransomware in modo proattivo. Nell'implementarlo, abbiamo prima considerato i blocchi base costituenti il cuore di ogni attacco ransomware, per comporli successivamente in un tool capace di comprendere ed interpretare l'intento che si cela dietro un'applicazione. Risultati sperimentali dimostrano che Heldroid è capace di identi ficare correttamente minacce mai viste prima con notevole precisione e velocit à.