Post on 11-Oct-2020
Informe ransomware
2015-2016
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 2
¿Qué es el ransomware?
2
Ransom = Rescate
Ware = Software
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 3
Historia del ransomware I
3
1989 - AIDS ransomware
Dr. Joseph Popp diseña aplicación sobre el virus del SIDA
Aplicación de pago, pide renovación licencia
Cuando el equipo es arrancado 90 veces Cifrado simétrico
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 4
Historia del ransomware II
4
1996 – Primera PoC de ransomware usando RSA
2006 – Reaparición usando RSA y claves de 660 bits
2011 – Virus de la Policía
2013 – Aparición de CryptoLocker
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 5
Tipos Ransomware
5
Locker (Virus Policía)
CriptoVirus
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 6
Evolución histórica
6
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 7
Víctimas
7
Home users
Empresas
Instituciones públicas
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 8
Tendencias actuales
8
Windows
Teslacrypt
Locky
Torrentlocker
[…]
OSX
KeRanger
Linux
Linux.Encoder
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 9
Nuevas tendencias
9
Web Servers
Móviles
SmartWatch
TV’s
[IoT]
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 10
Malware diseñado para robar datos bancarios.
Las víctimas reciben un correo electrónico que simula ser una factura o el envío de un
paquete con un albarán adjunto.
Los equipos se infectan al descargar el archivo adjunto de Microsoft Word que
contiene macros.
Este malware cifra los archivos del ordenador y exige un pago a quien quiera recuperar el control del equipo infectado.
Locky
10
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 11
Ransomware que se dirige a 185 extensiones de archivos relacionados
con 40 juegos diferentes, cifrando dichos archivos.
Las últimas versiones también infectan equipos sin juegos instalados, buscando extensiones típicas de archivos Word o
pdf.
Este malware aprovecha una vulnerabilidad de Adobe Reader para
infectar los equipos.
Teslacrypt
11
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 12
Petya
Tipo de ransomware que está empezando
a detectarse durante este mes.
Cifra la MFT y modifica el MBR.
¡Ya existe descifrador!
Nuevas tendencias - Abril 2016
12
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 13
Campaña de Correos
Se recibe un email indicando que se intentó
entregar un paquete sin éxito. Se adjunta una url
donde acceder para ver los datos del envío, esta url
lleva una redirección para la descarga del
ransomware.
Esta campaña utiliza una variante de torrentlocker
conocida como crypt0l0cker, se han detectado 7
oleadas hasta la fecha, reportándose 151 incidentes
en lo que va de 2016.
Nuevas tendencias - Abril 2016
13
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 14
Mantener copias de seguridad periódicas de los datos importantes
Mantener el sistema actualizado con los últimos parches de seguridad
Mantener un antivirus actualizado con las últimas firmas de código dañino, así como una correcta configuración de los firewalls.
Disponer de sistemas antispam a nivel de correo electrónico
Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware
Bloquear el tráfico relacionado con dominios y servidores C&C mediante un IDS/IPS
Establecer una defensa en profundidad empleando herramientas como EMET
No utilizar cuentas con privilegios de administrador.
Medidas preventivas
14
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 15
Deshabilitar JS en Acrobat Reader
15
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 16
Deshabilitar Flash y PDF en Chrome
16
Chrome://plugins
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 17
Desinstalar QuickTime
17
• Sin soporte de Apple
• 2 vulnerabilidades críticas descubiertas 14/04/2016
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 18
Desconectar las unidades de red.
Comprobar si el proceso dañino aún sigue ejecutándose.
Finalizar la ejecución del proceso dañino.
Arrancar el equipo en Modo Seguro.
Realizar una copia de seguridad del equipo.
Comunicar el incidente de seguridad al equipo/persona competente.
Medidas reactivas
18
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 19
Estadísticas 2015
19
Cryptolocker 21%
Torrentlocker 20%
Teslacrypt 17%
Cryptowall 25%
Otros 17%
Tipo Nº incidentes
Cryptolocker 93
Torrentlocker 89
Teslacrypt 73
Cryptowall 109
Otros 73
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 20
Estadísticas 2016
20
Tipo Nº incidentes
Locky 231
Teslacrypt 132
Torrentlocker* 151
Otros 37
Locky 42%
Teslacrypt 24%
Torrentlocker 27%
Otros 7%
* Incluye Crypt0l0cker
Informe de Ransomware 2015-2016 SIN CLASIFICAR
www.ccn-cert.cni.es 04/05/2016 21
¿Solución general?
21