ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El...
Transcript of ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El...
![Page 1: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/1.jpg)
ENTENDIENDO EL RANSOMWARE
Jaime Andrés Bello Vieda Banco Davivienda S.A.
![Page 2: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/2.jpg)
Agenda
• Motivación para esta charla
• Concepto y génesis del ransomware
• Vectores o vías de ataque
• Como reaccionar ante una infección de ransomware
• Herramientas y utilitarios
• Prevención
• Tendencias ransomware 2016 Latam – Colombia
• Conclusiones
2
![Page 3: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/3.jpg)
¿Cuál fue la motivación para esta charla?
3
![Page 4: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/4.jpg)
RANSOMWARE
Rescate
4
Software Es un término genérico para referirse a una familia malware que, una vez se activa en un sistema informático busca información (documentos, imágenes, memos, pdf, avances de videojuegos, etc.) con el fin de cifrarlos. El malware posteriormente crea un archivo con un mensaje de instrucciones para efectuar un pago por recibir una clave por liberar la información “secuestrada”.
![Page 5: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/5.jpg)
Ejemplos El mensaje se guarda en la raíz del SO C:\
5
![Page 6: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/6.jpg)
El pago del Ransomware
Los ciberdelincuentes, ofrecen a la víctima como medio para el rescate de la información tarjetas prepago o bitcoins, siendo este último el medio preferido.
Las transacciones con bitcoin se realizan en sitios web alcanzables con TOR (The Onion Router) por el anonimato que existe.
6
![Page 7: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/7.jpg)
¡CUIDADO! Pagar no es garantía ni solución al problema. Hay casos en que no se recibe la llave para el descifrado.
7
![Page 8: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/8.jpg)
Génesis del Ransomware
1989
• Campaña “Software educativo del SIDA”.
• 90.000 disquetes provenientes de “PC Cyborg Corporation.”
• El pago era enviando dinero a una cuenta en Panamá
• Dr. Joseph L. Popp, PhD de Harvard estaba detrás de esta campaña.
8
1996
• Paper de investigación referente a “Criptovirología” o uso de la Criptología con propósitos maliciosos.
• Primeros prototipos de ransomware.
2005
• Krotten.
• Archiveus.
• GPCoder (RSA de 1024 bits).
2009 • Invención del bitcoin (Sotoshi Nakamoto)
![Page 9: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/9.jpg)
9
2012
• Operación “Reveton”.
• Suplantación del FBI.
• Coaccionar a la víctima de estar cometiendo un crimen o infringiendo una ley.
2013
• CryptoLocker.
• CryptoDefense.
2014
• Cryptowall.
• CTB-Locker (Realiza comando y control en TOR).
• Simplocker (Objetivo dispositivos Android).
• Virlock.
2015
• TorrentLocker.
• Cryptowall.
• Ransomware as a service.
• TeslaCrypt (Busca archivos savegames).
2016
• Locky (Enviado en documentos MS Word).
• KeRanger (Objetivo OS X, MAC).
![Page 10: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/10.jpg)
Vectores o vías de ataque
10
![Page 11: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/11.jpg)
11
![Page 12: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/12.jpg)
12
![Page 13: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/13.jpg)
Y si me infecto, ¿Qué hago?
• Tranquilo, no se desespere.
• Es posible que su infección pertenezca a una “cepa” o especie de ransomware posible de descifrar.
13
![Page 14: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/14.jpg)
Medidas reactivas en Windows – Inmediatas Tomado de “Medidas de seguridad contra ransomware”. Centro Criptológico Nacional de España
• Desconectar el equipo de las unidades
de red – Remover el cable de red del equipo o
inactivar la conexión Wi-Fi.
– Puede evitar el cifrado de ficheros en caso que el ransomware esté en ejecución.
14
![Page 15: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/15.jpg)
• Comprobar si el proceso dañino continua en ejecución – No es fácil, el ransomware pudo
inyectarse en un proceso legítimo.
– En caso de identificarse (Process Explorer de Sysinternals), desde el Administrador de tareas de Windows debe realizar un volcado de memoria (dump) del proceso dañino (se guardará en %TMP%).
– El archivo de volcado debe almacenarse en un sistema aislado.
15
![Page 16: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/16.jpg)
• Finalizar la ejecución del proceso dañino. – Desde el administrador
de tareas de Windows o…
– Si no se ha identificado el proceso, apagar el equipo de manera manual y arrancar el mismo en Modo seguro (tecla F8). Evita que el ransomware se ejecute al reinicio en caso que sea persistente.
16
![Page 17: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/17.jpg)
• Realizar una copia de seguridad del equipo – Guardará archivos cifrados y no
cifrados, el backup debe realizarse en un disco duro externo.
– En caso de no poderse descifrar los archivos es importante conservarlos, ya que a futuro puede llegar a romperse el cifrado o se liberen las claves del ransomware.
17
![Page 18: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/18.jpg)
• Comunicar el incidente – En caso de ser un equipo corporativo, debe escalarse con la unidad de TI o de
respuesta a incidentes de seguridad de la empresa.
– Si es un equipo personal, puede comunicar el incidente y asesorarse con el CAI Virtual http://www.ccp.gov.co/ de la Policía Nacional para saber que pasos seguir.
18
![Page 19: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/19.jpg)
Investigue – Comparta experiencias
• No se que quede sentado o lamentándose por su información, hay que buscar y leer bastante para lograr recuperarla.
• Comparta su caso, hay que eliminar el tabú del miedo al “Qué dirán”.
• Afortunadamente a hoy en día existen cosas a favor de las víctimas como las que siguen:
19
![Page 20: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/20.jpg)
Herramientas – Utilitarios contra el ransomware
• Identificar el tipo de ransomware con ID Ransomware – https://id-
ransomware.malwarehunterteam.com/ • Descifrado de TeslaCrypt y AlphaCrypt
– http://www.talosintel.com/teslacrypt_tool/ • TeslaDecoder Tool (hasta version 3 de Teslacrypt
y Alphacrypt) – http://www.bleepingcomputer.com/virus-
removal/teslacrypt-alphacrypt-ransomware-information#decryp
20
![Page 21: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/21.jpg)
• CoinVault, Rannoh, Rakhni decryptor – https://noransom.kaspersky.com/
21
• Algunas veces se liberan claves Ransomware – Decryption Keys released!
![Page 22: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/22.jpg)
22
Descifrado de ransomware “Medidas de seguridad contra ransomware”. Centro Criptológico Nacional de España
![Page 23: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/23.jpg)
¿Cómo prevenirse? • Realice copias de seguridad de sus datos importantes. • Mantener los sistemas actualizados y con los últimos parches de
seguridad. • Instalar y mantener actualizado el antivirus. • Utilizar el firewall de Windows. • Configurar la visualización de extensiones de archivos. • Instalar la herramienta “Anti Ransom” http://www.security-
projects.com/?Anti_Ransom , la cual identifica cambios sobre archivos y documentos del usuario.
• Y por último y más importante...
23
![Page 24: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/24.jpg)
CONCIENTIZACIÓN Y CULTURA DE SEGURIDAD
24
![Page 25: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/25.jpg)
Tendencias Ransomware 2016
• Dado que el ransomware es un fenómeno mundial, y su crecimiento sigue en ascenso, Colombia es un país que seguirá adoleciendo de estos casos a pesar de no estar en la lista de naciones más golpeadas, los casos son considerables.
• De acuerdo con Kaspersky, en 2015, para Latinoamérica se detectó en Brasil el 92% de amenazas y muestras de ransomware. Colombia estuvo en el 5o lugar con el 0,54%.
• Dadas las facilidades del Ransomware as a service, el ransomware se puede llegar a adaptar de una manera más “latinizada” y a la medida de usuarios finales, Pymes y grandes empresas.
25
![Page 26: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/26.jpg)
27
Incremento y diversificación de
los ataques de malware a los dispositivos
móviles
Infecciones de Ransomware más latinizado y más
regional
Ataques dirigidos con sus objetivos y actores regionales
Proliferación de los ataques de
malware PoS (en los puntos de
venta) y ATM (en los cajeros
automáticos)
Ataques híbridos con el malware y la
participación especial de los
humanos insiders en las instituciones financieras y otras empresas cruciales
Perspectivas 2016 LATAM Kaspersky
Fuente: Microsoft
![Page 27: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/27.jpg)
28
La proliferación del ransomware se comporta como indica la flecha, empezando en países como Rusia y Ukrania, los más afectados por este malware.
![Page 28: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/28.jpg)
Conclusiones finales
• Ransomware continúa y va a continuar.
• Concientización.
• Reevaluar sistemas a respaldar (backups).
• Cooperación entre organismos.
• ¿Exigir mediante legislación la existencia de unidades CSIRT?
• ¿Incentivar investigación?
• ¿Necesidad de mejores profesionales?
• ¿Mejorar e impulsar el conocimiento en ciberseguridad?
• ¿Crear organismos de ciberseguridad?
29
![Page 29: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/29.jpg)
GRACIAS
30
Jaime Andrés Bello Vieda Banco Davivienda S.A.
![Page 30: ENTENDIENDO EL RANSOMWARE · 2018. 5. 21. · volcado de memoria (dump) del proceso ... –El archivo de volcado debe almacenarse en un sistema aislado. 15 •Finalizar la ejecución](https://reader031.fdocuments.es/reader031/viewer/2022012012/6144ce7134130627ed5095b1/html5/thumbnails/30.jpg)
Bibliografía y referencias • http://www.acis.org.co/portal/content/ataques-de-ransomware-negocios-se-duplicaron-en-2015-seg%C3%BAn-kaspersky-lab • http://www.colombiadigital.net/actualidad/noticias/item/8696-ransomware-un-enemigo-que-se-duplica.html • http://caracol.com.co/radio/2016/03/10/tecnologia/1457642427_732371.html • http://www.elespectador.com/noticias/economia/ciberfraude-cuesta-1-billon-colombia-articulo-621635 • https://www.cybrary.it/0p3n/ransomware-whitepaper/ • http://www.slideshare.net/cfbeek72/theres-a-pot-of-bitcoins-behind-the-ransomware-rainbow • https://www.cybrary.it/channelcontent/the-past-present-and-future-of-ransomware/ • https://medium.com/un-hackable/the-bizarre-pre-internet-history-of-ransomware-bb480a652b4b#.5pesiawir • http://voices.washingtonpost.com/securityfix/2008/06/ransomware_encrypts_victim_fil.html • http://krebsonsecurity.com/2012/08/inside-a-reveton-ransomware-operation/ • http://www.trendmicro.com/vinfo/us/security/definition/ransomware • https://blog.surfwatchlabs.com/2016/04/04/ransomware-making-headlines-in-early-2016/ • http://www.ccp.gov.co/sites/default/files/cfxivuewwaamy9z.jpg • http://www.uv.es/websiuv/documentos/seguretat/privado/recsegccncert.pdf • CAI Virtual http://www.ccp.gov.co/ • https://www.cybrary.it/0p3n/ransomware-decryption-keys-released/ • https://securelist.lat/blog/82197/pronosticos-de-ataques-ciberneticos-en-america-latina-el-2016/ • https://securelist.com/files/2015/12/Kaspersky-Security-Bulletin-2015_FINAL_EN.pdf • http://latam.kaspersky.com/sobre-kaspersky/centro-de-prensa/comunicados-de-prensa/2016/Kaspersky-Lab-ofrece-10-consejos-para-proteger-su-informacion-del-ransomware • http://latam.kaspersky.com/sobre-kaspersky/centro-de-prensa/comunicados-de-prensa/2016/El_ransomware_continua_afectando_a_las_empresas_a_pesar_de_ser_mas_conocido • Herramientas de descifrado y seguridad • http://www.thewindowsclub.com/list-ransomware-decryptor-tools • https://id-ransomware.malwarehunterteam.com/ • http://www.talosintel.com/teslacrypt_tool/ • http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information#decryp • https://noransom.kaspersky.com/ • http://www.security-projects.com/?Anti_Ransom
31