diga não ao ransomware
Transcrição
diga não ao ransomware
Diga NÃO ao Ransomware Marcos Rizo [email protected] Cenário evolutivo das ameaças DANO CAUSADO CRIMEWARE Ataques móveis Ataques destrutivos/ Cryptoransomware Ataques direcionados Ameaças W eb Botnets Spywares Spams W orms 2001 Copyright 2016 Trend Micro Inc. 2003 2004 2005 2007 2010 2012 2015 Ransomware É um tipo de malware que impede ou limita os usuários de acessar seus sistema/dados e obriga suas vítimas a pagar um “resgate” a fim de reestabelecer o acesso. http://www.trendmicro.com/vinfo/us/security/definition/ransomware 3 Evolução do Ransomware Copyright 2016 Trend Micro Inc. Dois Tipos de Ransomware Ransomware Crypto-Ransomware Quão grande é o problema +100 milhões de ransomwares bloqueados de Setembro/2015 a Junho/2016 50 novas famílias de ransomware de Janeiro a Maio de 2016 49 famílias de ransomware em 2014 e 2015 Q4’2014 taxa de Ransomware vs Crypto-ransomware Cryptoransomw are Ranso20% mwar e 80% Copyright 2016 Trend Micro Inc. Q4’2015 taxa de Ransomware vs Crypto-ransomware Crypto Ransomw are 17% Ranso mwar e 83% Como Atua Big Picture Nota de Resgate Paguo o resgate… DADO Decriptado – ?? OU Múltiplos Vetores Ataque 9 Copyright 2016 Trend Micro Inc. Dado Criptografado Restore do Backup CryptoLocker Confidential | Copyright 2015 Trend Micro Inc. Ameaça de Exposição dos Dados Ameaça disponibilizar seus dados na internet, relacionado-os ao usuário, caso o resgate não seja pago em tempo hábil 11 Copyright 2016 Trend Micro Inc. Quão grande é o problema Ransomware brasileiro • Era apenas uma questão de tempo até que os cibercriminosos brasileiros criassem suas próprias versões deste malware. HiddenTear – Versão brasileira Ransomwares – Janeiro de 2016 DETECÇÕES DA SPN LECTOOL LECTOOL EMPER EMPER CRYPRADAM MEMEKAP MEMEKAP CRYPRADAM CRYPNISCA CRYPJOKER CRYPRITU CRYPNISCA CRYPJOKER CRYPRITU SPAM DISGUISED AS PDF ATTACHMENT VETOR DE INFECÇÃO SPAM SPAM SPAM SPAM SPAM MODO DE PAGAMENTO 2 BTC NO RANSOM NOTE 13 BTC 0.5 BTC need to email malware author to get payment instructions 1 BTC DADOS CRIPTOGRAFADOS PERSONAL FILES PERSONAL FILES + DB FILES DB FILES 0.1 BTC WEB PAGES NO ADDITION TO PERSONAL FILES DB FILES DB FILES DB FILES CRIPTOGRAFIA KEYS ARE GENERATED LOCALLY PRIVATE KEY IN THE SERVER KEYS ARE GENERATED LOCALLY ENCRYPTION KEY IN THE SERVER KEYS ARE GENERATED LOCALLY KEYS ARE GENERATED LOCALLY AND DELETED PUBLIC KEY FROM C&C AUTO-DESTRUIÇÃO NO Copyright 2016 Trend Micro Inc. NO NO NO NO NO NO Ransomwares – Fevereiro de 2016 DETECÇÕES DA SPN CRYPGPCODE CRYPHYDRA CRYPDAP CRYPZUQUIT CRYPGPCODE CRYPHYDRA CRYPDAP CRYPZUQUIT MADLOCKER LOCKY MADLOCKER LOCKY VETOR DE INFECÇÃO INVOICE SPAM EXPLOIT KIT SPAM SPAM 1.505 BTC 2 BTC 536 GBP DISGUISED AS PDF ATTACHMENT MACRO OR JS ATTACHMENT MODO DE PAGAMENTO 400 DOLLARS with instruction from author how to pay 0.8 BTC $350 1 BTC DADOS CRIPTOGRAFADOS PERSONAL FILES DB FILES SYNC MANGER LOGGER PERSONAL FILES + NO ADDITION TO PERSONAL FILES WEB PAGES NO ADDITION TO PERSONAL FILES WALLET CRIPTOGRAFIA KEYS ARE GENERATED LOCALLY KEYS ARE GENERATED LOCALLY PUBLIC KEY FROM C&C PUBLIC KEY FROM C&C KEYS ARE GENERATED LOCALLY AUTO-DESTRUIÇÃO NO Copyright 2016 Trend Micro Inc. 0.5 - 1 BTC NO NO NO NO DB FILES CODES ENCRYPTION KEY FROM C&C Ransomwares – Março de 2016 DETECÇÕES DA SPN It speaks!! CERBER CERBER CRYPAURA CRYPAURA KeRanger KERANGER TESLA 4.0 TESLA MAKTUB MAKTUB SURPRISE PETYA SURPRISE PETYA TERMS-OF_SERVICE MACRO OR JS TEAM VIEWER APPSTORE ATTACHMENT EXPLOIT KIT (TOS) SPAM SPAM EXPLOIT KIT MODO DE <under reversing> 1.24-2.48 BTC 1.3 BTC 1 BTC CRIPTOSO 1.4 – 3.9 BTC $588 - $1638 0.5 to 25 BTC JOB APPLICATION WITH DROPBOX LINK PAGAMENTO 0.99 – 1.98 BTC $431 - $862 CRYPTOHASU Powerware POWERWARE Magento eCommerce COVERTON 1.18 – 2.37 BTC 1 BTC then $500 - $1000 increases by 1 BTC daily <under reversing> <under reversing> SPAM HACK <under reversing> 1 BTC 1 BTC $300 Increased /day 1 BTC $140 Tax fraud PERSONAL FILES PERSONAL FILE DB FILES DB FILES CODES PRIVATE KEY IS OBTAINED AFTER PAYMENT NO MRAWARE CRYPTOHASU KIMCIL MIRAWARE Targets CRYPTOSO <under reversing> MACRO DOWNLOADER ATTACHMENT DADOS CRIPTOGRAFADOS KIMCIL COVERTON VETOR DE INFECÇÃO + with customer case Power shell script PUBLIC KEY FROM C&C NO Copyright 2016 Trend Micro Inc. MACOS FILES GAMES GAMES WALLET ACCOUNTING/ FINANCE FILES OVERWRITES MBR & BSOD US TAX RETURN FILES <under reversing> DB FILES SCRIPTS & PROGRAMS <under reversing> Website files CRIPTOGRAFIA PUBLIC KEY FROM C&C NO <under <under 5 KEY PAIRS reversing> reversing> GENERATED LOCALLY AES KEY GENERATED PRIVATE KEY IS OBTAINED PRIVATE KEY IS OBTAINED 1 KEY REQUIRES RSA KEY PRIVATE KEY IS OBTAINED LOCALLY AFTER PAYMENT PRIVATE KEY IS OBTAINEDAFTER PAYMENT PRIVATE KEY IS OBTAINED AFTER PAYMENT AFTER PAYMENT AFTER PAYMENT <under reversing> AUTO-DESTRUIÇÃO NO NO NO <under reversing> NO NO NO NO Como estamos no Brasil? 19 Copyright 2015 Micro Inc. TrendMicro RTL - Trend Brasil Como estamos no Brasil? Windows Server 2012 7% Outros 5% Windows XP 12% Windows 7 76% 20 Copyright 2015 Micro Inc. TrendMicro RTL - Trend Brasil Perguntas ”filosofais” • Quanto custa o seu dado ou o do seu cliente? • Quanto custa sua hora fora de operação? • Quanto custa a hora do diretor que foi afetado? • Quanto custa sua marca? • Como você justifica o pagamento de um resgate no seu balancete? Como vencer o Ransomware? - by TrendMicro Como ser eficiente no bloqueio e-mail Blocking 92,63% URL Blocking 06,84% File Detection 00,44% Behavior Monitoring for known threats 00,07% Behavior Monitoring for unknown threats 00,02% A maioria dos ransomwares podem ser bloqueados no nível do Gateway A última linha de defesa são features Anti-Ransomware para detecção e bloqueio proativo no endpoint. Boas práticas Backup Em local isolado da rede Controle de Acesso Limitar o acesso a dados críticos e compartilhamentos de rede a usuários que realmente necessitem Manter patches atualizados Minimizar possibilidade de exploração de vulnerabilidades Não Pague Pagar o resgate encoraja a continuidade destes ataques e não garante a recuperação dos dados Educação dos usuários contra Phishing Educar os usuários em boas práticas de uso de e-mail e navegação na internet Aumentar postura de segurança Seguir as melhores práticas de segurança para suas atuais e futuras tecnologias Copyright 2016 Trend Micro Inc. Spear Phishing Protection Visibility of over 100 protocols Follow URL and Shortened URL Lateral Movement Detection Follow URL inside Office/PDF files Network Traffic Scanning URL Rewriting Ransomware Gateway Layer Network Layer Url and IP Reputation Url and IP Reputation Email Reputation Malware Sandbox New Born Domains 26 Specific category to Copyright 2015 Trend Micro Inc. ransomware Integration with Firewall Malware Sandbox Custom Signature for Environment Office365 Advanced Protection Vulnerability Shielding Suspicious Connection with C&C Application Control User Layer Url and IP Reputation File Reputation Ransomware Behavior Monitoring Device Control Log Inspection Hosted Firewall Vulnerability Shielding Suspicious Connection with C&C Virtual Patching Servers Layer Url and IP Reputation File Reputation Integrity Monitoring Ransomware Intrusion Prevention Rules Reflexão e avaliação do risco atual: – Backup regular e isolado da rede? – Gateways com features especificas contra ransomare? – Monitoramento e visibilidade de rede com sandboxing customizado? – Controle de aplicativos, detecção comportamental e gerenciamento de patches de sistema/aplicações nos endpoints? – Firewall de host, gerenciamento de patches de sistema/aplicações e regras de IPS específicas contra ransomware nos servidores ? Copyright 2016 Trend Micro Inc. Reflexão e avaliação do risco atual: – Backup regular e isolado da rede? – Gateways com features especificas contra ransomare? – Monitoramento e visibilidade de rede com sandboxing customizado? – Controle de aplicativos, detecção comportamental e gerenciamento de patches de sistema/aplicações nos endpoints? – Firewall de host, gerenciamento de patches de sistema/aplicações e regras de IPS específicas contra ransomware nos servidores ? Copyright 2016 Trend Micro Inc. Reflexão e avaliação do risco atual: – Backup regular e isolado da rede? – Gateways com features especificas contra ransomare? – Monitoramento e visibilidade de rede com sandboxing customizado? – Controle de aplicativos, detecção comportamental e gerenciamento de patches de sistema/aplicações nos endpoints? – Firewall de host, gerenciamento de patches de sistema/aplicações e regras de IPS específicas contra ransomware nos servidores ? Copyright 2016 Trend Micro Inc. Reflexão e avaliação do risco atual: – Backup regular e isolado da rede? – Gateways com features especificas contra ransomare? – Monitoramento e visibilidade de rede com sandboxing customizado? – Controle de aplicativos, detecção comportamental e gerenciamento de patches de sistema/aplicações nos endpoints? – Firewall de host, gerenciamento de patches de sistema/aplicações e regras de IPS específicas contra ransomware nos servidores ? Copyright 2016 Trend Micro Inc. Diga NÃO ao Ransomware Obrigado ! Marcos Rizo [email protected] www.trendmicro.com.br 32 Copyright 2016 Trend Micro Inc. - Pesquisa e Desenvolvimento • Cientistas e pesquisadores de ameaças trabalham para melhorar as tecnologias (com base nos dados de campanhas e amostras de malwares/URLs) – – – – – – Patterns Inteligentes Machine Learning Detecção avançada Análise comportamental Correlacionamento do ciclo de vida da ameaça Features específicas, contra ameaças específicas Copyright 2016 Trend Micro Inc. - Defesa Proativa Análise de potenciais vulnerabilidades e proteção proativa dos endpoints, servidores e aplicações Resposta rápida através de inteligência compartilhada de ameaças e a entrega de atualizações de segurança em tempo-real PROTEGE RESPONDE Visibilidade centralizada de todo o sistema e análise do impacto das ameaças DETECTA 34 Copyright 2015 Trend Micro Inc. Detecção de malware avançado, do seu comportamento e de comunicações maliciosas invisíveis à defesa tradicional - Defesa Conectada VISIBILIDADE E CONTROLE [email protected]
Documentos relacionados
seu dispositivo móvel está seguro?
trazem seus próprios dispositivos móveis para o trabalho e o usam para compartilhar arquivos ou dados dentro e fora do escritório e a consumerização, que é quando a empresa cede ao funcionário o di...
Leia mais