ENTENDIENDO EL RANSOMWARE

Jaime Andrés Bello Vieda Banco Davivienda S.A.

jabello@davivienda.com jaime10016@gmail.com

Agenda

• Motivación para esta charla

• Concepto y génesis del ransomware

• Vectores o vías de ataque

• Como reaccionar ante una infección de ransomware

• Herramientas y utilitarios

• Prevención

• Tendencias ransomware 2016 Latam – Colombia

• Conclusiones

2

¿Cuál fue la motivación para esta charla?

3

RANSOMWARE

Rescate

4

Software Es un término genérico para referirse a una familia malware que, una vez se activa en un sistema informático busca información (documentos, imágenes, memos, pdf, avances de videojuegos, etc.) con el fin de cifrarlos. El malware posteriormente crea un archivo con un mensaje de instrucciones para efectuar un pago por recibir una clave por liberar la información “secuestrada”.

Ejemplos El mensaje se guarda en la raíz del SO C:\

5

El pago del Ransomware

Los ciberdelincuentes, ofrecen a la víctima como medio para el rescate de la información tarjetas prepago o bitcoins, siendo este último el medio preferido.

Las transacciones con bitcoin se realizan en sitios web alcanzables con TOR (The Onion Router) por el anonimato que existe.

6

¡CUIDADO! Pagar no es garantía ni solución al problema. Hay casos en que no se recibe la llave para el descifrado.

7

Génesis del Ransomware

1989

• Campaña “Software educativo del SIDA”.

• 90.000 disquetes provenientes de “PC Cyborg Corporation.”

• El pago era enviando dinero a una cuenta en Panamá

• Dr. Joseph L. Popp, PhD de Harvard estaba detrás de esta campaña.

8

1996

• Paper de investigación referente a “Criptovirología” o uso de la Criptología con propósitos maliciosos.

• Primeros prototipos de ransomware.

2005

• Krotten.

• Archiveus.

• GPCoder (RSA de 1024 bits).

2009 • Invención del bitcoin (Sotoshi Nakamoto)

9

2012

• Operación “Reveton”.

• Suplantación del FBI.

• Coaccionar a la víctima de estar cometiendo un crimen o infringiendo una ley.

2013

• CryptoLocker.

• CryptoDefense.

2014

• Cryptowall.

• CTB-Locker (Realiza comando y control en TOR).

• Simplocker (Objetivo dispositivos Android).

• Virlock.

2015

• TorrentLocker.

• Cryptowall.

• Ransomware as a service.

• TeslaCrypt (Busca archivos savegames).

2016

• Locky (Enviado en documentos MS Word).

• KeRanger (Objetivo OS X, MAC).

Vectores o vías de ataque

10

11

12

Y si me infecto, ¿Qué hago?

• Tranquilo, no se desespere.

• Es posible que su infección pertenezca a una “cepa” o especie de ransomware posible de descifrar.

13

Medidas reactivas en Windows – Inmediatas Tomado de “Medidas de seguridad contra ransomware”. Centro Criptológico Nacional de España

• Desconectar el equipo de las unidades

de red – Remover el cable de red del equipo o

inactivar la conexión Wi-Fi.

– Puede evitar el cifrado de ficheros en caso que el ransomware esté en ejecución.

14

• Comprobar si el proceso dañino continua en ejecución – No es fácil, el ransomware pudo

inyectarse en un proceso legítimo.

– En caso de identificarse (Process Explorer de Sysinternals), desde el Administrador de tareas de Windows debe realizar un volcado de memoria (dump) del proceso dañino (se guardará en %TMP%).

– El archivo de volcado debe almacenarse en un sistema aislado.

15

• Finalizar la ejecución del proceso dañino. – Desde el administrador

de tareas de Windows o…

– Si no se ha identificado el proceso, apagar el equipo de manera manual y arrancar el mismo en Modo seguro (tecla F8). Evita que el ransomware se ejecute al reinicio en caso que sea persistente.

16

• Realizar una copia de seguridad del equipo – Guardará archivos cifrados y no

cifrados, el backup debe realizarse en un disco duro externo.

– En caso de no poderse descifrar los archivos es importante conservarlos, ya que a futuro puede llegar a romperse el cifrado o se liberen las claves del ransomware.

17

• Comunicar el incidente – En caso de ser un equipo corporativo, debe escalarse con la unidad de TI o de

respuesta a incidentes de seguridad de la empresa.

– Si es un equipo personal, puede comunicar el incidente y asesorarse con el CAI Virtual http://www.ccp.gov.co/ de la Policía Nacional para saber que pasos seguir.

18

Investigue – Comparta experiencias

• No se que quede sentado o lamentándose por su información, hay que buscar y leer bastante para lograr recuperarla.

• Comparta su caso, hay que eliminar el tabú del miedo al “Qué dirán”.

• Afortunadamente a hoy en día existen cosas a favor de las víctimas como las que siguen:

19

Herramientas – Utilitarios contra el ransomware

• Identificar el tipo de ransomware con ID Ransomware – https://id-

ransomware.malwarehunterteam.com/ • Descifrado de TeslaCrypt y AlphaCrypt

– http://www.talosintel.com/teslacrypt_tool/ • TeslaDecoder Tool (hasta version 3 de Teslacrypt

y Alphacrypt) – http://www.bleepingcomputer.com/virus-

removal/teslacrypt-alphacrypt-ransomware-information#decryp

20

• CoinVault, Rannoh, Rakhni decryptor – https://noransom.kaspersky.com/

21

• Algunas veces se liberan claves Ransomware – Decryption Keys released!

22

Descifrado de ransomware “Medidas de seguridad contra ransomware”. Centro Criptológico Nacional de España

¿Cómo prevenirse? • Realice copias de seguridad de sus datos importantes. • Mantener los sistemas actualizados y con los últimos parches de

seguridad. • Instalar y mantener actualizado el antivirus. • Utilizar el firewall de Windows. • Configurar la visualización de extensiones de archivos. • Instalar la herramienta “Anti Ransom” http://www.security-

projects.com/?Anti_Ransom , la cual identifica cambios sobre archivos y documentos del usuario.

• Y por último y más importante...

23

CONCIENTIZACIÓN Y CULTURA DE SEGURIDAD

24

Tendencias Ransomware 2016

• Dado que el ransomware es un fenómeno mundial, y su crecimiento sigue en ascenso, Colombia es un país que seguirá adoleciendo de estos casos a pesar de no estar en la lista de naciones más golpeadas, los casos son considerables.

• De acuerdo con Kaspersky, en 2015, para Latinoamérica se detectó en Brasil el 92% de amenazas y muestras de ransomware. Colombia estuvo en el 5o lugar con el 0,54%.

• Dadas las facilidades del Ransomware as a service, el ransomware se puede llegar a adaptar de una manera más “latinizada” y a la medida de usuarios finales, Pymes y grandes empresas.

25

27

Incremento y diversificación de

los ataques de malware a los dispositivos

móviles

Infecciones de Ransomware más latinizado y más

regional

Ataques dirigidos con sus objetivos y actores regionales

Proliferación de los ataques de

malware PoS (en los puntos de

venta) y ATM (en los cajeros

automáticos)

Ataques híbridos con el malware y la

participación especial de los

humanos insiders en las instituciones financieras y otras empresas cruciales

Perspectivas 2016 LATAM Kaspersky

Fuente: Microsoft

28

La proliferación del ransomware se comporta como indica la flecha, empezando en países como Rusia y Ukrania, los más afectados por este malware.

Conclusiones finales

• Ransomware continúa y va a continuar.

• Concientización.

• Reevaluar sistemas a respaldar (backups).

• Cooperación entre organismos.

• ¿Exigir mediante legislación la existencia de unidades CSIRT?

• ¿Incentivar investigación?

• ¿Necesidad de mejores profesionales?

• ¿Mejorar e impulsar el conocimiento en ciberseguridad?

• ¿Crear organismos de ciberseguridad?

29

GRACIAS

30

Jaime Andrés Bello Vieda Banco Davivienda S.A.

jabello@davivienda.com jaime10016@gmail.com

Bibliografía y referencias • http://www.acis.org.co/portal/content/ataques-de-ransomware-negocios-se-duplicaron-en-2015-seg%C3%BAn-kaspersky-lab • http://www.colombiadigital.net/actualidad/noticias/item/8696-ransomware-un-enemigo-que-se-duplica.html • http://caracol.com.co/radio/2016/03/10/tecnologia/1457642427_732371.html • http://www.elespectador.com/noticias/economia/ciberfraude-cuesta-1-billon-colombia-articulo-621635 • https://www.cybrary.it/0p3n/ransomware-whitepaper/ • http://www.slideshare.net/cfbeek72/theres-a-pot-of-bitcoins-behind-the-ransomware-rainbow • https://www.cybrary.it/channelcontent/the-past-present-and-future-of-ransomware/ • https://medium.com/un-hackable/the-bizarre-pre-internet-history-of-ransomware-bb480a652b4b#.5pesiawir • http://voices.washingtonpost.com/securityfix/2008/06/ransomware_encrypts_victim_fil.html • http://krebsonsecurity.com/2012/08/inside-a-reveton-ransomware-operation/ • http://www.trendmicro.com/vinfo/us/security/definition/ransomware • https://blog.surfwatchlabs.com/2016/04/04/ransomware-making-headlines-in-early-2016/ • http://www.ccp.gov.co/sites/default/files/cfxivuewwaamy9z.jpg • http://www.uv.es/websiuv/documentos/seguretat/privado/recsegccncert.pdf • CAI Virtual http://www.ccp.gov.co/ • https://www.cybrary.it/0p3n/ransomware-decryption-keys-released/ • https://securelist.lat/blog/82197/pronosticos-de-ataques-ciberneticos-en-america-latina-el-2016/ • https://securelist.com/files/2015/12/Kaspersky-Security-Bulletin-2015_FINAL_EN.pdf • http://latam.kaspersky.com/sobre-kaspersky/centro-de-prensa/comunicados-de-prensa/2016/Kaspersky-Lab-ofrece-10-consejos-para-proteger-su-informacion-del-ransomware • http://latam.kaspersky.com/sobre-kaspersky/centro-de-prensa/comunicados-de-prensa/2016/El_ransomware_continua_afectando_a_las_empresas_a_pesar_de_ser_mas_conocido • Herramientas de descifrado y seguridad • http://www.thewindowsclub.com/list-ransomware-decryptor-tools • https://id-ransomware.malwarehunterteam.com/ • http://www.talosintel.com/teslacrypt_tool/ • http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information#decryp • https://noransom.kaspersky.com/ • http://www.security-projects.com/?Anti_Ransom

31