Post on 21-Feb-2017
transcript
1HackParaLosChicos
26deAgosto2016,CiudaddeCórdoba- Argentina
JornadadeSeguridaddelaInformaciónconFinesSolidarios
Ransomware, el secuestro virtual.
¿Cómo me protejo?
#1HackParaLosChicos|EdiciónN° 4 2
DisertanteEnrique G. DutraPunto Net Soluciones SRLedutra@puntonetsoluciones.com.ar
@egdutra @puntonetsol
#1HackParaLosChicos|EdiciónN° 4 3
Agenda
ü ¿QuéesunRansomware?.Conceptosü ¿PorquépagarconBitcoins?ü CasosconocidosyTiposdeataques.ü Vectordeataque.ü ¿Cómo protegersedelosRansomware?.ü Preguntas.
#1HackParaLosChicos|EdiciónN° 4 4
¿Qué es un Ransomware?Definiciones
#1HackParaLosChicos|EdiciónN° 4 5
Ransomware
Vidareal:“…apropiacióndeobjetosdevalor/personasquese
devolveránacambiodeunrescate,unatácticaantesreservadaalosladronesysecuestradoresdelmundoreal….”
Vidadigital:“… Losciberdelincuentes empleanuntipo
de malware denominado"ransomware",quepuedeinfectarunordenadoroundispositivomóvilyrestringirelaccesoalosarchivosyprogramasquecontiene,amenosqueelusuarioaccedaapagarunrescatepararecuperarlo…
Fuente:IntelMcafee
#1HackParaLosChicos|EdiciónN° 4 6
Ransomware
RANSOM WARErescate softWARE
MAL WAREMALicius softWARE
#1HackParaLosChicos|EdiciónN° 4 7
Ransomware
RECUPERACIONSEPAGACON
#1HackParaLosChicos|EdiciónN° 4 8
Bitcoins
ü Bitcoins esunamonedavirtualeintangible.SerumoreaqueelcreadoresSatoshi Nakamoto peronohaydatoscerteros.
ü Peer-to-PeerElectronic CashSystem.ü Elsoftwareempleala criptografía.ü Sólopuedansergastadosporsudueño,ynuncamásde
unavezporelmismo.ü Porlacombinacionesdesemillas(hash)solohabrá
21.000.000debitcoins yseesperaqueesténgeneradostodosparael2033.
ü Subendeprecio,porqueamedidaquesegeneran,cuestamásquesegenerennuevos.Llegaráunmomentoqueseestabilizaránporqueohabrámasquecrear.
ü Sistemabasadoenlaconfianza.
#1HackParaLosChicos|EdiciónN° 4 9
Bitcoinsü Billetera:personaqueadquiereelsoftware
parahacertransaccionesconBitcoins.ü Identificación:seidentificaconunacadenade
33dígitos,como1rYK1YzEGa59pI314159KUF2Za4jAYYTd.
ü Certificados:Cadausuariotieneunallavepublicayprivada(certificadodigital).
ü Transferenciavia P2P:víatransferenciamedianteaplicacionescliente/servidorsetransfiereloscertificadosquerespaldanlosbitcoins.
ü Comercios:DELL,Wikipedia,WordPress ycomerciosenEuropa.
#1HackParaLosChicos|EdiciónN° 4 10
Bitcoins
Valores• 1BTC=U$S550• https://localbitcoins.com/• https://blockchain.info/es• http://www.bitcoinargentina.org/• Unpedidoderecuperación rondaentrelos2y5bitcoins.DependedelRansomware.(puedenllegarhasta25btc)
#1HackParaLosChicos|EdiciónN° 4 11
#1HackParaLosChicos|EdiciónN° 4 12
#1HackParaLosChicos|EdiciónN° 4 13
Variantes del mismo problema
#1HackParaLosChicos|EdiciónN° 4 14
VectorInfección
#1HackParaLosChicos|EdiciónN° 4 15
PrimerosRansomware
ü Primer ransomware creado 1989, conocido como AIDS oPC Cyborg, Joseph Popp pedía pago por archivos cifrados.Reclamaban U$S 189 y se cancelaba mediante medio depago.
ü En mayo 2012, Trend Micro descubrió las variaciones deun malware llamado Reventon para los Estados Unidos yCanadá que pedía un pago a medios de pagos.
ü En agosto 2012, se comenzó a utilizar el logo del FBI parareclamar una fianza de 200 dólares a pagar mediante unatarjeta de MoneyPak a los propietarios de computadoresinfectados.
Problema: manera de cobrar por parte del delincuente una vez que le eran depositados los
U$S. A parte se los podía rastrear una vez denunciados.
#1HackParaLosChicos|EdiciónN° 4 16
VersionesdeRansomware
ü Reventon: reapareció en 2012. Requería U$S 200 para obtenerla contraseña de recuperación.
ü CryptoLocker: aparece en septiembre del 2013. 3 días parahacer el pago o se elimina la clave privada que se utilizó paracifrar archivos o aumentaría de a 10 BTC a medida que pasa eltiempo.
ü CryptoLocker.F and TorrentLocker: aparece en Australiaseptiembre del 2014. Se propagaba por correo electrónico,enviaba un e-mail de entrega fallida y pedía al usuario queingresara a un sitio web, con previa validación de un CAPTCHAbajaba el malware y el usuario nunca veía el correo fallado.
ü CryptoWall: surge a principios de 2014 bajo el nombre deCryptoDefense, afecta a S.O Microsoft. Se propaga a través delcorreo electrónico con suplantación de identidad. Ya está por laversión 4.0 y el FBI estima pérdidas de al menos U$S 18millones.
#1HackParaLosChicos|EdiciónN° 4 17
VersionesdeRansomwareü Petya: Tiene como objetivo el departamento de RRHH de
las empresas. Los empleados reciben correos consolicitudes de empleo, las cuales incluyen un enlace aDropbox con el archivo application_portfolio-packed.exe que al ejecutar reinicia la computadora trasun supuesto BSOD y consecuente proceso de reparación.Cifra TODO EL DISCO.
#1HackParaLosChicos|EdiciónN° 4 18
VersionesdeRansomware
ü KeRanger:El4demarzo,sedetectó laversióndeRansomware paraMacOSX.Exigealasvíctimasunpagoenbitcoin (aproximadamenteUS$400)aunadirecciónespecíficapararecuperarsusarchivos.Cifraarchivosdebackup realizadosporTimeMachine.Mediodetransmisión:BitTorrent.
#1HackParaLosChicos|EdiciónN° 4 19
VersionesdeRansomware
ü Variantes de Locky: mediados de Julio/16, hay campañasde spam con asunto llamativo, y archivos maliciosos conformato ZIP.
ü Hay casos con archivos adjuntos con formato de Officecon macros activas.
#1HackParaLosChicos|EdiciónN° 4 20
Ver Excel con Versioneshttp://seguridadit.blogspot.com.ar/2016/08/ransomware-parte-iii.html
#1HackParaLosChicos|EdiciónN° 4 21
Archivosquecifran
ü MicrosoftOfiice (.doc,.docx,.xls,.xlsx,.ppt,.pptx,.rtf)ü OpenOffice(.odt,.ods,.odp)ü AdobePDFü Imágenes (.JPG,.PNG,raw camera,etc.)ü Texto(.txt,.RTF,etc.)ü Database (.sql,.dba,.mdb,.odb,.db3,.sqlite3,etc.)ü Compressedle(.zip,.rar,.7z,etc.)ü Mail(.pst)ü Key(.pem,.crt,etc.)ü Todoeldisco….ü Todoelserver...ü Todoelcelular....
#1HackParaLosChicos|EdiciónN° 4 22
Ransomware
#1HackParaLosChicos|EdiciónN° 4 23
Reflexionar…
#1HackParaLosChicos|EdiciónN° 4 24
¿Cómo protegerse?
#1HackParaLosChicos|EdiciónN° 4 25
Prevención
✅ Copiadeseguridaddelosarchivos.✅ Useelequipoconlosmenosprivilegiosposibles.✅ Unantimalwareactualizadoenlosequipos.✅ Mantenerlosproductosdesoftwaresactualizados.✅ Desconfiardecorreosconadjuntosolinksnoreconocidos.Nohacerclic
enlosenlacesincluidosencorreoselectrónicosnosolicitados(SPAM)
✅ Verifiquequeelremitente queleenvíaarchivosadjuntosencorreoselectrónicosseadeconfianza,encasodetenerdudaspregúntelesifueélquienleenvióeldocumentoqueustedestáapuntodeabrir.
✅ Nousarmediosdedescargademúsica osoftwaredeorigenpococonfiables.
✅ NousarmacrosenarchivosdeMSOfficesivanaserusadosporterceros.
✅ Nomapearunidadesdered.✅ MantenerproteccionesdeS.O(UAC,otros….)✅ Nopagarelrescate.
#1HackParaLosChicos|EdiciónN° 4 26
Proyecto
NECESITAS AYUDA: desbloqueo de su vida digital sin tener que pagar sus atacantes?
https://www.nomoreransom.org/
#1HackParaLosChicos|EdiciónN° 4 27
Preguntas?
@egdutra
@chgaray
#1HackParaLosChicos|EdiciónN° 4 28
LinksdeInteres
Artículosquedansoporteaestaconferenciaen:
ü http://seguridadit.blogspot.com.ar/
ü https://www.nomoreransom.org/
ü http://computerhoy.com/tags/ransomware
MuchasGracias!!#1hackparaloschicos