RANSOMWARE: CÓMO EVITAR SER UN REHEN MÁS INFOSECURITY QUIT… · seguridad y todo el departamento...
Transcript of RANSOMWARE: CÓMO EVITAR SER UN REHEN MÁS INFOSECURITY QUIT… · seguridad y todo el departamento...
©2016 Check Point Software Technologies Ltd. 1 ©2016 Check Point Software Technologies Ltd. [Protected] Non-confidential content
Francisco Robayo Security Engineering Manager Latin America [email protected]
RANSOMWARE:
CÓMO EVITAR SER
UN REHEN MÁS
©2016 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals
LA CIBERGUERRA ESTA EN APOGEO
©2016 Check Point Software Technologies Ltd. 4 [Restricted] ONLY for designated groups and individuals
6,412 nuevas vulnerabilidades es 2015 (fuente: cvedetails.com))
Virus
CVEs
Bad URLs
Signatures
Exploits Trojans Botnets
EL AUGE DEL LOS ATAQUES DE DÍA CERO
Más de 3000 nuevos sitios inseguros descubiertos al día (ver Google Transparency Project)
El mercado de exploits de día cero está en crecimiento (Ver: Deep Dot Web)
©2016 Check Point Software Technologies Ltd. 5
Malware Growth and Sophistication
[Confidential] For designated groups and individuals
AV-TEST GmbH
971 Descargas de malware
desconocido ocurren cada
hora *
©2016 Check Point Software Technologies Ltd. 5
66 100
184
326
467
0
125
250
375
500
2011 2012 2013 2014 2015
Millio
ns
Total Malware
* Check Point Security Report 2016
COLOMBIA ES EL 3er. PAÍS DE LA REGIÓN
CON MÁS ATAQUES CIBERNÉTICOS
©2016 Check Point Software Technologies Ltd. 6 [Restricted] ONLY for designated groups and individuals
El método preferido de los criminales
Hasta el45% DE EXITO EN ROBO
DE CREDENCIALES
Google hijacking study, 2014
PHISHING
91% ATAQUES APT EMPIEZAN
CON PHISHING Trend Micro Incorporated Research Paper 2012
©2016 Check Point Software Technologies Ltd. 7 [Protected] Non-confidential content
La manipulación inteligente de la tendencia natural de la gente a confiar
INGENIERÍA SOCIAL
©2016 Check Point Software Technologies Ltd. 8
PRIMERO, UNA HISTORIA
Un oficial de préstamo de una institución financiera recibe un correo electrónico al parecer de un cliente ...
Cryptolocker infecta su máquina
... Ella sin saber descarga malware en su computadora portátil por un correo electrónico con phishing .
La solución de antivirus del banco no detecta o bloquea el incidente
©2016 Check Point Software Technologies Ltd. 9
Se cifran miles de archivos , incluyendo el almacenamiento de carpetas compartidas que afecta a cientos de usuarios
¿Qué pasa cuando el malware entra en un computador?? Que hizo Cryptolocker ?
Se exige un pago por el rescate con el fin de proporcionar la clave para el descifrado
©2016 Check Point Software Technologies Ltd. 10 [Restricted] ONLY for designated groups and individuals
Esta persona perdió varios días de
trabajo desde la última copia de
seguridad y todo el departamento
perdió muchas horas de productividad
Pero, ¿quién es el siguiente? Y como
podemos prevenirlo ?
Para prevenir mejor los ataques futuros, necesitamos saber más ...
©2016 Check Point Software Technologies Ltd. 12
Los países, empresas y personas no son inmunes
[Protected] Non-confidential content
©2015 Check Point Software Technologies Ltd. 13
Las amenazas siguen creciendo
[Protected] Non-confidential content
©2016 Check Point Software Technologies Ltd. 14
Ejemplo Reciente de CTB Locker desde la perspectiva de la Víctima
• Esta campaña ha estado activa en los últimos dos meses
• Ejemplos de correo de phishing
Asunto: Tu email del negocio Telstra - Factura – 0471094600
Asunto: Vodafone - Recapito Elettronico Fattura nr . AG00003481
• Campaña de ransomware dirigida clientes finales de las
principales empresas de telecomunicaciones a nivel mundial
©2016 Check Point Software Technologies Ltd. 15
CTB - Locker – El correo no fue realmente una factura de una Telco ...
[Protected] Non-confidential content
©2016 Check Point Software Technologies Ltd. 16
Reinicializa la PC o pague.
[Protected] Non-confidential content
©2016 Check Point Software Technologies Ltd. 17
Te permite descifrar 5 archivos gratis para garantizar el servicio de cryptolocker
[Protected] Non-confidential content
Pantalla de rescate - Prueba que pagando, podemos entregar los archivos descifrados
©2016 Check Point Software Technologies Ltd. 18 [Restricted] ONLY for designated groups and individuals
Apague su Firewall
Para comunicarse con servidor de C & C
©2016 Check Point Software Technologies Ltd. 19
Cuando la Comunicación es bloqueada?
Existe opción de pago fuera de línea para su conveniencia
[Protected] Non-confidential content
©2016 Check Point Software Technologies Ltd. 20
Pagar el rescate a través de TOR ... .
[Protected] Non-confidential content
©2016 Check Point Software Technologies Ltd. 21
• La criptografía asimétrica es usada para cifrar archivos de los usuarios: su fortaleza hace virtualmente imposible desbloquear el acceso a los archivos sin pagar por ‘el rescate’.
• TOR es una red creada para garantizar el anonimato de sus usuarios. CTB-Locker lo usa para salvaguardar el anonimato de las comunicaciones entre los hackers y su software, y dificultar así la localización de los servidores donde se alojan los archivos con las llaves de descifrado.
• Bitcoin, por otra parte es el medio de pago elegido por los hackers como medio para dificultar que las autoridades sigan el rastro del dinero.
• El precio del rescate para CTB-Locker son 8 bitcoins, al día de hoy alrededor de los 1680 dólares.
[Protected] Non-confidential content
El secuestro y el rescate
©2015 Check Point Software Technologies Ltd. 22
Visión general de un Ataque Crypto
[Protected] Non-confidential content
Infección
Llamada a C&C para obtener la llave
Archivos personales son cifrados.
Notificación
Pago
Descifrado
©2015 Check Point Software Technologies Ltd. 23
JUGADORES VIEJOS…
…NUEVOS TRUCOS
[Protected] Non-confidential content
• Eventos de Ransomware son cada vez más frecuentes
• Utilización de Cryptolocker con variantes de este
• Soluciones de seguridad tradicionales no pueden detectar los variantes de Ransomware
©2015 Check Point Software Technologies Ltd. 24
Un ataque reciente - Locky - Feb, 2016
[Protected] Non-confidential content
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Pe
rce
nta
ge
Source: VirusTotal
Porcentaje de variantes identificadas por cada motor de AV
EL RESTO NO DETECTAS MAS 30%
EL TOP 3 DE AVs SOLAMENTE DETECTARON ~50%
©2015 Check Point Software Technologies Ltd. 25
¿Cómo evaden el Anti-Virus?
Hackers usan kits de explotación
[Protected] Non-confidential content
cambios polimórficos
Empaquetamiento y ofuscación
©2016 Check Point Software Technologies Ltd. 26
La soluciones basadas en firma tienen una brecha…
ANTI-VIRUS
Catches known or old malware
Of known malware, 71 in 1000 are not
caught
ZERO-DAY
PROTECTION
Detects new and unknown malware
5 in 100 instances of unknown malware
go undetected
100%
SECURITY
GAP
©2016 Check Point Software Technologies Ltd. 27
Malware that has not previously been seen
can often get past traditional technology
WHAT YOU DON’T KNOW…
…ZERO-DAY
How do you protect against
[Protected] Non-confidential content ©2015 Check Point Software Technologies Ltd.
Debemos impedir el malware
de forma proactiva
Ni siquiera hacen una conexión para obtener la llave ..
ALGUNOS CRYPTOS
La tecnología Anti-Bot bloquea las conexiónes de C&C, pero ...
Para poner fin a estos
©2015 Check Point Software Technologies Ltd. 28
BLOQUEAR CADA FASE DEL ATAQUE
RECONOCIMIENTO Bloquear actividades de red sospechosas
ENTREGA Bloquear descargas maliciosas
EXPLOTACION Bloquear explotación de vulnerabilidades
CONTROL Bloquear actividades de Comando y Control
©2016 Check Point Software Technologies Ltd. 29 [Protected] Non-confidential content
¿Hay que pagar? - Evitas que te pidan más dinero? - Ayudar al mercado de los cyber criminales ¿Qué hacer? - Respaldos periódicos - Protección unificada y multicapas
Y ahora
Que hacer
©2016 Check Point Software Technologies Ltd. 30
Con una Gestion Centralizada Inteligente
Monitorear y gestionar la Seguridad a través de toda la organización!
Prevención de Amenazas de múltiples capas para cada fase del ataque
Previene daños por bots desde
dispositivos infectados] Anti-Bot
Detiene archivos con malware de
día cero
Emulacion
(Sandboxing)
CO
NO
CID
AS
D
ES
CO
NO
CID
AS
Remueve contenidos potencialmente
malicioso de documentos Limpieza de
archivos
Inteligencia de seguridad en
tiempo real Threat
Cloud
Detiene exploits de
vulnerabilidades conocidads IPS
Bloquea descarga de archivos
infectados con malware conocido Antivirus