ransomware: cÓmo evitar ser un rehen mÁs infosecurity quit… · seguridad y todo el departamento...

©2016 Check Point Software Technologies Ltd. 1 ©2016 Check Point Software Technologies Ltd. [Protected] Non-confidential content

Francisco Robayo Security Engineering Manager Latin America [email protected]

RANSOMWARE:

CÓMO EVITAR SER

UN REHEN MÁS

©2016 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals

LA CIBERGUERRA ESTA EN APOGEO

©2016 Check Point Software Technologies Ltd. 4 [Restricted] ONLY for designated groups and individuals

6,412 nuevas vulnerabilidades es 2015 (fuente: cvedetails.com))

Virus

CVEs

Bad URLs

Signatures

Exploits Trojans Botnets

EL AUGE DEL LOS ATAQUES DE DÍA CERO

Más de 3000 nuevos sitios inseguros descubiertos al día (ver Google Transparency Project)

El mercado de exploits de día cero está en crecimiento (Ver: Deep Dot Web)


Malware Growth and Sophistication

[Confidential] For designated groups and individuals

AV-TEST GmbH

971 Descargas de malware

desconocido ocurren cada

hora *


66 100

184

326

467

0

125

250

375

500

2011 2012 2013 2014 2015

Millio

ns

Total Malware

* Check Point Security Report 2016

COLOMBIA ES EL 3er. PAÍS DE LA REGIÓN

CON MÁS ATAQUES CIBERNÉTICOS


El método preferido de los criminales

Hasta el45% DE EXITO EN ROBO

DE CREDENCIALES

Google hijacking study, 2014

PHISHING

91% ATAQUES APT EMPIEZAN

CON PHISHING Trend Micro Incorporated Research Paper 2012

©2016 Check Point Software Technologies Ltd. 7 [Protected] Non-confidential content

La manipulación inteligente de la tendencia natural de la gente a confiar

INGENIERÍA SOCIAL


PRIMERO, UNA HISTORIA

Un oficial de préstamo de una institución financiera recibe un correo electrónico al parecer de un cliente ...

Cryptolocker infecta su máquina

... Ella sin saber descarga malware en su computadora portátil por un correo electrónico con phishing .

La solución de antivirus del banco no detecta o bloquea el incidente


Se cifran miles de archivos , incluyendo el almacenamiento de carpetas compartidas que afecta a cientos de usuarios

¿Qué pasa cuando el malware entra en un computador?? Que hizo Cryptolocker ?

Se exige un pago por el rescate con el fin de proporcionar la clave para el descifrado


Esta persona perdió varios días de

trabajo desde la última copia de

seguridad y todo el departamento

perdió muchas horas de productividad

Pero, ¿quién es el siguiente? Y como

podemos prevenirlo ?

Para prevenir mejor los ataques futuros, necesitamos saber más ...


Los países, empresas y personas no son inmunes

[Protected] Non-confidential content


Las amenazas siguen creciendo


http://blog.checkpoint.com/2016/04/01/check-point-threat-alert-ransomware-campaigns-using-js-inside-archives/

https://blog.malwarebytes.org/threat-analysis/2016/03/maktub-locker-beautiful-and-dangerous/


Ejemplo Reciente de CTB Locker desde la perspectiva de la Víctima

• Esta campaña ha estado activa en los últimos dos meses

• Ejemplos de correo de phishing

Asunto: Tu email del negocio Telstra - Factura – 0471094600

Asunto: Vodafone - Recapito Elettronico Fattura nr . AG00003481

• Campaña de ransomware dirigida clientes finales de las

principales empresas de telecomunicaciones a nivel mundial


CTB - Locker – El correo no fue realmente una factura de una Telco ...



Reinicializa la PC o pague.



Te permite descifrar 5 archivos gratis para garantizar el servicio de cryptolocker


Pantalla de rescate - Prueba que pagando, podemos entregar los archivos descifrados


Apague su Firewall

Para comunicarse con servidor de C & C


Cuando la Comunicación es bloqueada?

Existe opción de pago fuera de línea para su conveniencia



Pagar el rescate a través de TOR ... .



• La criptografía asimétrica es usada para cifrar archivos de los usuarios: su fortaleza hace virtualmente imposible desbloquear el acceso a los archivos sin pagar por ‘el rescate’.

• TOR es una red creada para garantizar el anonimato de sus usuarios. CTB-Locker lo usa para salvaguardar el anonimato de las comunicaciones entre los hackers y su software, y dificultar así la localización de los servidores donde se alojan los archivos con las llaves de descifrado.

• Bitcoin, por otra parte es el medio de pago elegido por los hackers como medio para dificultar que las autoridades sigan el rastro del dinero.

• El precio del rescate para CTB-Locker son 8 bitcoins, al día de hoy alrededor de los 1680 dólares.


El secuestro y el rescate


Visión general de un Ataque Crypto


Infección

Llamada a C&C para obtener la llave

Archivos personales son cifrados.

Notificación

Pago

Descifrado


JUGADORES VIEJOS…

…NUEVOS TRUCOS


• Eventos de Ransomware son cada vez más frecuentes

• Utilización de Cryptolocker con variantes de este

• Soluciones de seguridad tradicionales no pueden detectar los variantes de Ransomware


Un ataque reciente - Locky - Feb, 2016


0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Pe

rce

nta

ge

Source: VirusTotal

Porcentaje de variantes identificadas por cada motor de AV

EL RESTO NO DETECTAS MAS 30%

EL TOP 3 DE AVs SOLAMENTE DETECTARON ~50%


¿Cómo evaden el Anti-Virus?

Hackers usan kits de explotación


cambios polimórficos

Empaquetamiento y ofuscación


La soluciones basadas en firma tienen una brecha…

ANTI-VIRUS

Catches known or old malware

Of known malware, 71 in 1000 are not

caught

ZERO-DAY

PROTECTION

Detects new and unknown malware

5 in 100 instances of unknown malware

go undetected

100%

SECURITY

GAP


Malware that has not previously been seen

can often get past traditional technology

WHAT YOU DON’T KNOW…

…ZERO-DAY

How do you protect against

[Protected] Non-confidential content ©2015 Check Point Software Technologies Ltd.

Debemos impedir el malware

de forma proactiva

Ni siquiera hacen una conexión para obtener la llave ..

ALGUNOS CRYPTOS

La tecnología Anti-Bot bloquea las conexiónes de C&C, pero ...

Para poner fin a estos


BLOQUEAR CADA FASE DEL ATAQUE

RECONOCIMIENTO Bloquear actividades de red sospechosas

ENTREGA Bloquear descargas maliciosas

EXPLOTACION Bloquear explotación de vulnerabilidades

CONTROL Bloquear actividades de Comando y Control


¿Hay que pagar? - Evitas que te pidan más dinero? - Ayudar al mercado de los cyber criminales ¿Qué hacer? - Respaldos periódicos - Protección unificada y multicapas

Y ahora

Que hacer


Con una Gestion Centralizada Inteligente

Monitorear y gestionar la Seguridad a través de toda la organización!

Prevención de Amenazas de múltiples capas para cada fase del ataque

Previene daños por bots desde

dispositivos infectados] Anti-Bot

Detiene archivos con malware de

día cero

Emulacion

(Sandboxing)

CO

NO

CID

AS

D

ES

CO

NO

CID

AS

Remueve contenidos potencialmente

malicioso de documentos Limpieza de

archivos

Inteligencia de seguridad en

tiempo real Threat

Cloud

Detiene exploits de

vulnerabilidades conocidads IPS

Bloquea descarga de archivos

infectados con malware conocido Antivirus

©2016 Check Point Software Technologies Ltd. 31 ©2016 Check Point Software Technologies Ltd. [Protected] Non-confidential content

GRACIAS.

ransomware: cÓmo evitar ser un rehen mÁs infosecurity quit… · seguridad y todo el departamento...

Documents