Marcos Rizo
Marcos_rizo@trendmicro.com
Diga
NÃO
ao
Copyright 2016 Trend Micro Inc.
Cenário evolutivo das ameaças
CRIMEWARE D A N O C A U S A D O W orm s Spam s S pywares B otnets A m eaças W eb 2001 2003 2004 2005 2007 2010 2012 Ataques di reci onados A taques m óvei s 2015 A taques destruti vos / C rypto -ransom ware
3
Ransomware
É um tipo de malware que impede ou
limita os usuários de acessar seus
sistema/dados e obriga suas vítimas a pagar
um “resgate” a fim de reestabelecer o acesso.
Copyright 2016 Trend Micro Inc.
Dois Tipos de Ransomware
Crypto-Ransomware
Ransomware
Quão grande é o problema
+100 milhões de ransomwares bloqueados de
Setembro/2015 a Junho/2016
50 novas famílias de ransomware
de Janeiro a Maio de 2016
Crypto
-Ranso
mwar
e
83%
Ransomw are 17%Q4’2015 taxa de
Ransomware vs
Crypto-ransomware
Copyright 2016 Trend Micro Inc.
Crypto-ransomw are 20%
Ranso
mwar
e
80%
Q4’2014 taxa de
Ransomware vs
Crypto-ransomware
Como Atua
Copyright 2016 Trend Micro Inc. 9
Big Picture
Múltiplos Vetores
Ataque Dado Criptografado
Nota de Resgate
Paguo o resgate…DADO Decriptado – ??
Restore do Backup
CryptoLocker
Copyright 2016 Trend Micro Inc. 11
Ameaça de Exposição dos Dados
Ameaça disponibilizar seus dados na
internet, relacionado-os ao usuário, caso o
resgate não seja pago em tempo hábil
Ransomware brasileiro
•
Era apenas uma questão de tempo até que os
cibercriminosos brasileiros criassem suas próprias versões
deste malware.
Ransomwares – Janeiro de 2016
MODO DE PAGAMENTO
SPAM
2 BTC
KEYS ARE GENERATED
LOCALLY AND DELETED PUBLIC KEY FROM C&C ENCRYPTION KEY IN THE
SERVER
DB FILES
need to email malware author to get payment
instructions
SPAM SPAM SPAM SPAM SPAM
13 BTC 0.5 BTC 1 BTC 0.1 BTC NO RANSOM NOTE DETECÇÕES DA SPN VETOR DE INFECÇÃO DADOS CRIPTOGRAFADOS DB FILES PERSONAL FILES PERSONAL FILES
NO ADDITION TO PERSONAL FILES
KEYS ARE GENERATED LOCALLY KEYS ARE GENERATED
LOCALLY PRIVATE KEY IN THE
SERVER
CRIPTOGRAFIA
AUTO-DESTRUIÇÃO
DB FILES DB FILES WEB PAGES DB FILES
+
KEYS ARE GENERATED LOCALLY
CRYPNISCA CRYPRITU
CRYPRADAM CRYPJOKER
LECTOOL EMPER MEMEKAP
NO NO NO NO NO NO NO
LECTOOL EMPER CRYPRADAM MEMEKAP CRYPNISCA CRYPJOKER CRYPRITU
DISGUISED AS PDF ATTACHMENT
Ransomwares – Fevereiro de 2016
DETECÇÕES DA SPN
CRIPTOGRAFIA
AUTO-DESTRUIÇÃO DADOS CRIPTOGRAFADOS
PERSONAL FILES PERSONAL FILES
LOCKY
CRYPHYDRA
EXPLOIT KIT
SYNC MANGER LOGGER
INVOICE SPAM DISGUISED AS PDF ATTACHMENT SPAM SPAM 1 BTC 2 BTC 0.5 - 1 BTC 536 GBP 1.505 BTC 0.8 BTC $350 400 DOLLARS with instruction from author
how to pay DB FILES NO ADDITION TO PERSONAL FILES WEB PAGES + NO ADDITION TO PERSONAL FILES
KEYS ARE GENERATED LOCALLY
KEYS ARE GENERATED LOCALLY
KEYS ARE GENERATED
LOCALLY ENCRYPTION KEY FROM C&C PUBLIC KEY FROM C&C PUBLIC KEY FROM C&C DB FILES CODES WALLET MODO DE PAGAMENTO VETOR DE INFECÇÃO MADLOCKER CRYPDAP CRYPZUQUIT CRYPGPCODE MACRO OR JS ATTACHMENT NO NO NO NO NO
CRYPGPCODE CRYPHYDRA CRYPDAP CRYPZUQUIT
MADLOCKER LOCKY
Ransomwares – Março de 2016 DETECÇÕES DA SPN VETOR DE INFECÇÃO CRIPTOGRAFIA AUTO-DESTRUIÇÃO DADOS CRIPTOGRAFADOS
PERSONAL FILES PERSONAL FILES
KeRanger MACOS FILES GAMES CRIPTOSO 1.18 – 2.37 BTC $500 - $1000 TEAM VIEWER OVERWRITES MBR & BSOD 0.99 – 1.98 BTC $431 - $862 1 BTC then increases by 1 BTC daily US TAX RETURN FILES COVERTON 1 BTC EXPLOIT KIT SPAM
TERMS-OF_SERVICE
(TOS) SPAM MACRO DOWNLOADER ATTACHMENT JOB APPLICATION
WITH DROPBOX LINK MACRO OR JS
ATTACHMENT EXPLOIT KIT
+ 1.24-2.48 BTC 1 BTC 1.3 BTC DB FILES DB FILES 1.4 – 3.9 BTC $588 - $1638 0.5 to 25 BTC DB FILES CODES GAMES WALLET ACCOUNTING/ FINANCE FILES PUBLIC KEY FROM C&C
AES KEY GENERATED LOCALLY PUBLIC KEY
FROM C&C
5 KEY PAIRS GENERATED LOCALLY
1 KEY REQUIRES RSA KEY PRIVATE KEY IS OBTAINED AFTER PAYMENT PRIVATE KEY IS OBTAINED AFTER PAYMENT
PRIVATE KEY IS OBTAINED AFTER PAYMENT PRIVATE KEY IS OBTAINED
AFTER PAYMENT PRIVATE KEY IS OBTAINED
AFTER PAYMENT
MODO DE PAGAMENTO
It speaks!! Power shell script <under reversing> <under reversing> <under reversing> <under reversing> <under reversing> <under reversing> TESLA 4.0 CERBER
CRYPAURA MAKTUB SURPRISE PETYA
Powerware
with customer case
NO NO NO NO NO NO NO
CERBER
CRYPAURA KERANGER TESLA MAKTUB SURPRISE PETYA POWERWARE
CRYPTOSO
COVERTON
APPSTORE
CRYPTOHASU
PRIVATE KEY IS OBTAINED AFTER PAYMENT NO CRYPTOHASU 1 BTC $300 Increased /day KIMCIL NO Website files Targets Magento eCommerce 1 BTC $140 NO KIMCIL HACK MRAWARE MIRAWARE <under reversing> <under reversing> <under reversing> <under reversing> SPAM SCRIPTS & PROGRAMS <under reversing> Tax fraud
Copyright 2015 Trend Micro Inc. 19
Como estamos no Brasil?
Copyright 2015 Trend Micro Inc. 20 Windows 7 76% Windows XP 12% Windows Server 2012 7% Outros 5%
Como estamos no Brasil?
Perguntas ”filosofais”
•
Quanto custa o seu dado ou o do seu cliente?
•
Quanto custa sua hora fora de operação?
•
Quanto custa a hora do diretor que foi
afetado?
•
Quanto custa sua marca?
•
Como você justifica o pagamento de um
Como vencer o Ransomware?
Copyright 2016 Trend Micro Inc.
e-mail Blocking
URL Blocking
File Detection
Behavior Monitoring for known threats
Behavior Monitoring for unknown threats
92,63%
06,84%
00,44%
00,07%
00,02%
Como ser eficiente no bloqueio
A maioria dos
ransomwares
podem ser
bloqueados no
nível do Gateway
A última linha de defesa são featuresAnti-Ransomware para detecção e bloqueio proativo no
Educação dos usuários contra Phishing
Educar os usuários em boas práticas de uso de e-mail e navegação na internet
Aumentar postura de segurança
Seguir as melhores práticas de segurança para suas atuais e futuras tecnologias
Não Pague
Pagar o resgate encoraja a
continuidade destes ataques e não garante a recuperação dos dados
Manter patches atualizados
Minimizar possibilidade de exploração de vulnerabilidades
Controle de Acesso
Limitar o acesso a dados críticos e compartilhamentos de rede a
usuários que realmente necessitem
Backup
Em local isolado da rede
Copyright 2016 Trend Micro Inc.
Copyright 2015 Trend Micro Inc. 26
Spear Phishing Protection
Email Reputation Url and IP Reputation
Malware Sandbox Network Layer Gateway Layer Network Traffic Scanning Malware Sandbox Lateral Movement Detection Visibility of over 100 protocols Integration with Firewall Custom Signature for Environment
User Layer Servers Layer
Ransomware Behavior Monitoring File Reputation Url and IP Reputation Application Control Vulnerability Shielding Suspicious Connection with C&C Device Control Office365 Advanced Protection Ransomware Vulnerability Shielding
Url and IP Reputation Virtual Patching Integrity Monitoring Hosted Firewall Log Inspection File Reputation URL Rewriting
Follow URL inside Office/PDF files
Follow URL and Shortened URL
Url and IP Reputation
New Born Domains Specific category to ransomware Ransomware Intrusion Prevention Rules Suspicious Connection with C&C
Reflexão e avaliação do risco atual:
Copyright 2016 Trend Micro Inc.
– Backup regular e isolado da rede?
– Gateways com features especificas contra ransomare?
– Monitoramento e visibilidade de rede com sandboxing customizado?
– Controle de aplicativos, detecção comportamental e gerenciamento de patches de sistema/aplicações nos endpoints?
– Firewall de host, gerenciamento de patches de sistema/aplicações e regras de IPS específicas contra ransomware nos servidores ?
Reflexão e avaliação do risco atual:
Copyright 2016 Trend Micro Inc.
– Backup regular e isolado da rede?
– Gateways com features especificas contra ransomare?
– Monitoramento e visibilidade de rede com sandboxing customizado?
– Controle de aplicativos, detecção comportamental e gerenciamento de patches de sistema/aplicações nos endpoints?
– Firewall de host, gerenciamento de patches de sistema/aplicações e regras de IPS específicas contra ransomware nos servidores ?
Reflexão e avaliação do risco atual:
Copyright 2016 Trend Micro Inc.
– Backup regular e isolado da rede?
– Gateways com features especificas contra ransomare?
– Monitoramento e visibilidade de rede com sandboxing customizado?
– Controle de aplicativos, detecção comportamental e gerenciamento de patches de sistema/aplicações nos endpoints?
– Firewall de host, gerenciamento de patches de sistema/aplicações e regras de IPS específicas contra ransomware nos servidores ?
Reflexão e avaliação do risco atual:
Copyright 2016 Trend Micro Inc.
– Backup regular e isolado da rede?
– Gateways com features especificas contra ransomare?
– Monitoramento e visibilidade de rede com sandboxing customizado?
– Controle de aplicativos, detecção comportamental e gerenciamento de patches de sistema/aplicações nos endpoints?
– Firewall de host, gerenciamento de patches de sistema/aplicações e regras de IPS específicas contra ransomware nos servidores ?
Marcos Rizo
Marcos_rizo@trendmicro.com
Obrigado !
Diga
NÃO
ao
Copyright 2016 Trend Micro Inc. 32
- Pesquisa e Desenvolvimento
•
Cientistas e pesquisadores de ameaças trabalham para melhorar as
tecnologias (com base nos dados de campanhas e amostras de
malwares/URLs)
–
Patterns Inteligentes
–
Machine Learning
–
Detecção avançada
–
Análise comportamental
–
Correlacionamento do ciclo de vida da ameaça
–
Features específicas, contra ameaças específicas
Copyright 2015 Trend Micro Inc. 34
Visibilidade centralizada de todo o sistema e análise do impacto das ameaças Resposta rápida através de
inteligência compartilhada de ameaças e a entrega de atualizações de segurança em tempo-real Detecção de malware avançado, do seu comportamento e de comunicações maliciosas invisíveis à defesa tradicional
Análise de potenciais vulnerabilidades e proteção proativa dos endpoints, servidores e aplicações PROTEGE DETECTA RESPONDE
- Defesa Proativa
VISIBILIDADE E CONTROLE