diga não ao ransomware

Diga NÃO ao
Ransomware
Marcos Rizo
[email protected]
Cenário evolutivo das ameaças
DANO CAUSADO
CRIMEWARE
Ataques
móveis
Ataques
destrutivos/
Cryptoransomware
Ataques
direcionados
Ameaças
W eb
Botnets
Spywares
Spams
W orms
2001
Copyright 2016 Trend Micro Inc.
2003
2004
2005
2007
2010
2012
2015
Ransomware
É um tipo de malware que impede ou
limita os usuários de acessar seus
sistema/dados e obriga suas vítimas a pagar
um “resgate” a fim de reestabelecer o acesso.
http://www.trendmicro.com/vinfo/us/security/definition/ransomware
3
Evolução do Ransomware
Copyright 2016 Trend Micro Inc.
Dois Tipos de Ransomware
Ransomware
Crypto-Ransomware
Quão grande é o problema
+100 milhões de ransomwares bloqueados de
Setembro/2015 a Junho/2016
50 novas famílias de ransomware
de Janeiro a Maio de 2016
49 famílias de ransomware em 2014 e 2015
Q4’2014 taxa de
Ransomware vs
Crypto-ransomware
Cryptoransomw
are
Ranso20%
mwar
e
80%
Copyright 2016 Trend Micro Inc.
Q4’2015 taxa de
Ransomware vs
Crypto-ransomware
Crypto
Ransomw
are
17%
Ranso
mwar
e
83%
Como Atua
Big Picture
Nota de Resgate
Paguo o resgate…
DADO Decriptado – ??
OU
Múltiplos Vetores
Ataque
9
Copyright 2016 Trend Micro Inc.
Dado Criptografado
Restore do Backup
CryptoLocker
Confidential | Copyright 2015 Trend Micro Inc.
Ameaça de Exposição dos Dados
Ameaça disponibilizar seus dados na
internet, relacionado-os ao usuário, caso o
resgate não seja pago em tempo hábil
11
Copyright 2016 Trend Micro Inc.
Quão grande é o problema
Ransomware brasileiro
• Era apenas uma questão de tempo até que os
cibercriminosos brasileiros criassem suas próprias versões
deste malware.
HiddenTear – Versão brasileira
Ransomwares – Janeiro de 2016
DETECÇÕES DA SPN
LECTOOL
LECTOOL
EMPER
EMPER
CRYPRADAM
MEMEKAP
MEMEKAP
CRYPRADAM
CRYPNISCA
CRYPJOKER
CRYPRITU
CRYPNISCA
CRYPJOKER
CRYPRITU
SPAM
DISGUISED AS
PDF ATTACHMENT
VETOR DE INFECÇÃO
SPAM
SPAM
SPAM
SPAM
SPAM
MODO DE PAGAMENTO
2 BTC
NO RANSOM
NOTE
13 BTC
0.5 BTC
need to email malware
author to get payment
instructions
1 BTC
DADOS CRIPTOGRAFADOS
PERSONAL FILES
PERSONAL FILES
+
DB FILES
DB FILES
0.1 BTC
WEB PAGES
NO ADDITION
TO PERSONAL FILES
DB FILES
DB FILES
DB FILES
CRIPTOGRAFIA
KEYS ARE GENERATED
LOCALLY
PRIVATE KEY IN THE
SERVER
KEYS ARE GENERATED
LOCALLY
ENCRYPTION KEY IN THE
SERVER
KEYS ARE GENERATED
LOCALLY
KEYS ARE GENERATED
LOCALLY AND DELETED
PUBLIC KEY
FROM C&C
AUTO-DESTRUIÇÃO
NO
Copyright 2016 Trend Micro Inc.
NO
NO
NO
NO
NO
NO
Ransomwares – Fevereiro de 2016
DETECÇÕES DA SPN
CRYPGPCODE
CRYPHYDRA
CRYPDAP
CRYPZUQUIT
CRYPGPCODE
CRYPHYDRA
CRYPDAP
CRYPZUQUIT
MADLOCKER
LOCKY
MADLOCKER
LOCKY
VETOR DE INFECÇÃO
INVOICE SPAM
EXPLOIT KIT
SPAM
SPAM
1.505 BTC
2 BTC
536 GBP
DISGUISED AS
PDF ATTACHMENT
MACRO OR JS
ATTACHMENT
MODO DE PAGAMENTO
400 DOLLARS with
instruction from author
how to pay
0.8 BTC
$350
1 BTC
DADOS CRIPTOGRAFADOS
PERSONAL FILES
DB FILES
SYNC MANGER
LOGGER
PERSONAL FILES
+
NO ADDITION
TO PERSONAL FILES
WEB PAGES
NO ADDITION
TO PERSONAL FILES
WALLET
CRIPTOGRAFIA
KEYS ARE GENERATED
LOCALLY
KEYS ARE GENERATED
LOCALLY
PUBLIC KEY
FROM C&C
PUBLIC KEY
FROM C&C
KEYS ARE GENERATED
LOCALLY
AUTO-DESTRUIÇÃO
NO
Copyright 2016 Trend Micro Inc.
0.5 - 1 BTC
NO
NO
NO
NO
DB FILES
CODES
ENCRYPTION KEY FROM
C&C
Ransomwares – Março de 2016
DETECÇÕES DA SPN
It speaks!!
CERBER
CERBER
CRYPAURA
CRYPAURA
KeRanger
KERANGER
TESLA 4.0
TESLA
MAKTUB
MAKTUB
SURPRISE
PETYA
SURPRISE
PETYA
TERMS-OF_SERVICE
MACRO OR JS
TEAM VIEWER
APPSTORE ATTACHMENT EXPLOIT KIT (TOS) SPAM
SPAM
EXPLOIT KIT
MODO DE
<under
reversing>
1.24-2.48 BTC
1.3 BTC
1 BTC
CRIPTOSO
1.4 – 3.9 BTC
$588 - $1638
0.5 to 25 BTC
JOB APPLICATION
WITH DROPBOX
LINK
PAGAMENTO
0.99 – 1.98 BTC
$431 - $862
CRYPTOHASU
Powerware
POWERWARE
Magento
eCommerce
COVERTON
1.18 – 2.37 BTC
1 BTC then
$500 - $1000 increases by 1 BTC
daily
<under
reversing>
<under
reversing>
SPAM
HACK
<under
reversing>
1 BTC
1 BTC
$300
Increased /day
1 BTC
$140
Tax fraud
PERSONAL FILES
PERSONAL FILE
DB FILES
DB FILES
CODES
PRIVATE KEY IS OBTAINED
AFTER PAYMENT
NO
MRAWARE
CRYPTOHASU KIMCIL
MIRAWARE
Targets
CRYPTOSO
<under
reversing>
MACRO DOWNLOADER
ATTACHMENT
DADOS CRIPTOGRAFADOS
KIMCIL
COVERTON
VETOR DE INFECÇÃO
+
with customer case
Power shell
script
PUBLIC KEY
FROM C&C
NO
Copyright 2016 Trend Micro Inc.
MACOS
FILES
GAMES
GAMES WALLET
ACCOUNTING/
FINANCE FILES
OVERWRITES MBR
& BSOD
US TAX
RETURN FILES
<under
reversing>
DB FILES
SCRIPTS &
PROGRAMS
<under
reversing>
Website files
CRIPTOGRAFIA
PUBLIC KEY
FROM C&C
NO
<under
<under
5 KEY PAIRS
reversing>
reversing>
GENERATED LOCALLY
AES KEY GENERATED
PRIVATE KEY IS OBTAINED
PRIVATE KEY IS OBTAINED
1 KEY REQUIRES RSA KEY
PRIVATE KEY IS OBTAINED LOCALLY
AFTER PAYMENT
PRIVATE KEY IS OBTAINEDAFTER PAYMENT
PRIVATE KEY IS OBTAINED
AFTER PAYMENT
AFTER PAYMENT
AFTER PAYMENT
<under
reversing>
AUTO-DESTRUIÇÃO
NO
NO
NO
<under
reversing>
NO
NO
NO
NO
Como estamos no Brasil?
19
Copyright
2015
Micro Inc.
TrendMicro
RTL
- Trend
Brasil
Como estamos no Brasil?
Windows Server
2012
7%
Outros
5%
Windows XP
12%
Windows 7
76%
20
Copyright
2015
Micro Inc.
TrendMicro
RTL
- Trend
Brasil
Perguntas ”filosofais”
• Quanto custa o seu dado ou o do seu cliente?
• Quanto custa sua hora fora de operação?
• Quanto custa a hora do diretor que foi
afetado?
• Quanto custa sua marca?
• Como você justifica o pagamento de um
resgate no seu balancete?
Como vencer o Ransomware?
- by TrendMicro
Como ser eficiente no bloqueio
e-mail Blocking
92,63%
URL Blocking
06,84%
File Detection
00,44%
Behavior Monitoring for
known threats
00,07%
Behavior Monitoring for
unknown threats
00,02%
A maioria dos
ransomwares
podem ser
bloqueados no
nível do Gateway
A última linha de
defesa são features
Anti-Ransomware
para detecção e
bloqueio proativo no
endpoint.
Boas práticas
Backup
Em local isolado da rede
Controle de Acesso
Limitar o acesso a dados críticos e
compartilhamentos de rede a
usuários que realmente necessitem
Manter patches atualizados
Minimizar possibilidade de
exploração de vulnerabilidades
Não Pague
Pagar o resgate encoraja a
continuidade destes ataques e não
garante a recuperação dos dados
Educação dos usuários contra
Phishing
Educar os usuários em boas
práticas de uso de e-mail e
navegação na internet
Aumentar postura de segurança
Seguir as melhores práticas de
segurança para suas atuais e
futuras tecnologias
Copyright 2016 Trend Micro Inc.
Spear Phishing
Protection
Visibility of over 100
protocols
Follow URL and
Shortened URL
Lateral Movement
Detection
Follow URL inside
Office/PDF files
Network Traffic
Scanning
URL Rewriting
Ransomware
Gateway Layer
Network Layer
Url and IP Reputation
Url and IP Reputation
Email Reputation
Malware Sandbox
New Born Domains
26
Specific category to
Copyright 2015 Trend Micro Inc.
ransomware
Integration with
Firewall
Malware Sandbox
Custom Signature
for Environment
Office365 Advanced
Protection
Vulnerability Shielding
Suspicious Connection
with C&C
Application Control
User Layer
Url and IP Reputation
File Reputation
Ransomware
Behavior Monitoring
Device Control
Log Inspection
Hosted Firewall
Vulnerability Shielding
Suspicious Connection
with C&C
Virtual Patching
Servers Layer
Url and IP Reputation
File Reputation
Integrity Monitoring
Ransomware Intrusion
Prevention Rules
Reflexão e avaliação do risco atual:
– Backup regular e isolado da rede?
– Gateways com features especificas contra ransomare?
– Monitoramento e visibilidade de rede com sandboxing customizado?
– Controle de aplicativos, detecção comportamental e gerenciamento
de patches de sistema/aplicações nos endpoints?
– Firewall de host, gerenciamento de patches de sistema/aplicações e
regras de IPS específicas contra ransomware nos servidores ?
Copyright 2016 Trend Micro Inc.
Reflexão e avaliação do risco atual:
– Backup regular e isolado da rede?
– Gateways com features especificas contra ransomare?
– Monitoramento e visibilidade de rede com sandboxing customizado?
– Controle de aplicativos, detecção comportamental e gerenciamento
de patches de sistema/aplicações nos endpoints?
– Firewall de host, gerenciamento de patches de sistema/aplicações e
regras de IPS específicas contra ransomware nos servidores ?
Copyright 2016 Trend Micro Inc.
Reflexão e avaliação do risco atual:
– Backup regular e isolado da rede?
– Gateways com features especificas contra ransomare?
– Monitoramento e visibilidade de rede com sandboxing customizado?
– Controle de aplicativos, detecção comportamental e gerenciamento
de patches de sistema/aplicações nos endpoints?
– Firewall de host, gerenciamento de patches de sistema/aplicações e
regras de IPS específicas contra ransomware nos servidores ?
Copyright 2016 Trend Micro Inc.
Reflexão e avaliação do risco atual:
– Backup regular e isolado da rede?
– Gateways com features especificas contra ransomare?
– Monitoramento e visibilidade de rede com sandboxing customizado?
– Controle de aplicativos, detecção comportamental e gerenciamento
de patches de sistema/aplicações nos endpoints?
– Firewall de host, gerenciamento de patches de sistema/aplicações e
regras de IPS específicas contra ransomware nos servidores ?
Copyright 2016 Trend Micro Inc.
Diga NÃO ao
Ransomware
Obrigado !
Marcos Rizo
[email protected]
www.trendmicro.com.br
32
Copyright 2016 Trend Micro Inc.
- Pesquisa e Desenvolvimento
• Cientistas e pesquisadores de ameaças trabalham para melhorar as
tecnologias (com base nos dados de campanhas e amostras de
malwares/URLs)
–
–
–
–
–
–
Patterns Inteligentes
Machine Learning
Detecção avançada
Análise comportamental
Correlacionamento do ciclo de vida da ameaça
Features específicas, contra ameaças específicas
Copyright 2016 Trend Micro Inc.
- Defesa Proativa
Análise de potenciais
vulnerabilidades e
proteção proativa dos
endpoints, servidores
e aplicações
Resposta rápida através de
inteligência compartilhada
de ameaças e a entrega de
atualizações de segurança
em tempo-real
PROTEGE
RESPONDE
Visibilidade centralizada
de todo o sistema e
análise do impacto das
ameaças
DETECTA
34
Copyright 2015 Trend Micro Inc.
Detecção de malware
avançado, do seu
comportamento e de
comunicações maliciosas
invisíveis à defesa tradicional
- Defesa Conectada
VISIBILIDADE E
CONTROLE
[email protected]