Ransomware. La mejor estrategia para detectarlo en Servidores. Daniela Fda. Arroyo Barocio. Copyright 2016 Trend Micro Inc.

Transcripción

1 Ransomware La mejor estrategia para detectarlo en Servidores Daniela Fda. Arroyo Barocio

2 Las múldples capas del Ransomware Exposure Layer Attachment Ransomware executable Document JavaScript Infec4on Layer Ransomware on endpoint Execution: encrypt files and ransom URL Download ransomware Lateral Movement Execution: encrypt shared files & folders and ransom Compromised website Exploit kit Ransomware on server 2

3 Las múldples capas del Ransomware Security Attachment Ransomware executable Document JavaScript Network Security Endpoint Security Ransomware on endpoint Execution: encrypt files and ransom URL Endpoint Security Compromised website Exploit kit Download ransomware Web Security Lateral Movement Ransomware on server Server Security Execution: encrypt shared files & folders and ransom 3

4 Obje4vos del Ransomware Los equipos de los usuarios son el punto de acceso más común Usuarios Las páginas web que explotan vulnerabilidades y los correos de phishing dirigido son los vectores de ataque preferidos 4

5 Obje4vos del Ransomware Tambien usado como posible punto de entrada u4lizando carpetas compar4das El Ransomware se replica a otros usuarios y a los servidores u4lizando la red Usuarios Red Corpora4va 5

6 Obje4vos del Ransomware Usuarios Más destruc4vos y más rentables La mayoría del ransomware para servidores explota vulnerabilidades conocidas U4lizan movimiento lateral para llegar a los servidores Red Corpora4va Servidores 6

7 Ransomware en el datacenter moderno Un enfoque muldcapa que haga más senddo para disminuir el riesgo en toda la empresa La mayoría de los ataques son a los usuarios, pero pueden propagarse a todos los servers mediante recursos comparddos Algunos ataques recientes (Ej. SAMSAM) se aprovechan de sistemas vulnerables o no parchados, obligando a las empresas a pagar un rescate para recuperar su operación 7

8 8

9 Qué Dpo de archivos buscan cifrar los atacantes? 9

10 Vectores de infección 10

11 Protección para servidores ante ransomware Trend Micro provee: AnD-malware y web reputadon Blindaje de Vulnerabilidades (intrusion prevendon) Detección y prevención de movimientos laterales para detener la propagación mediante la prevención de intrusos Específicamente para Ransomware: Detección y alertas ante comunicación de Comando y control (C&C) Defensa en file servers Windows & Linux ante infecciones de ransomware que provengan de usuarios y que realicen cambios sospechosos en archivos comparddos Monitoreo y alertamiento ante cambios y accesos no autorizados a los servidores 11

12 AnD-malware y reputación web Previene el acceso a URLs maliciosas, incluso con ransomware Protección andmalware en Dempo real en sistemas Windows & Linux, basado en una inteligencia global de amenazas 12

13 Ransomware también se ve en Linux 13

14 Blindaje de Vulnerabilidades Detección y prevención de ataques mediante vulnerabilidades de sofware y aplicaciones (Ej. El reciente ataque a vulnerabilidad en servidores JBOSS) Escaneo Automá4co, recomendaciones y despliegue de reglas especificas para cada Sistema OperaDvo y aplicación Parcheo Virtual de vulnerabilidades hasta que pueda aplicar el parche del fabricante, si es que éste existe o migrar su Sistema OperaDvo 14

15 El fabricante ya no da soporte Trend Micro se compromete a soportar la protección de Windows Server 2003 hasta el 2020 y así permi4r una migración fluida 15

16 Hay casos que literalmente son de vida o muerte 16

17 Detección y Prevención de movimientos laterales Las reglas de Prevención de Intrusos permite prevenir y monitorear: Movimientos laterales de los atacantes para evitar que lleguen a más servidores Herramientas del atacante: especialmente tráfico en la red de herramientas de administración remota (RATs) 17 Típicamente udlizadas por los atacantes para regresar y tomar el control de los servidores

18 Detección y Prevención Command & Control ante ransomware Command and Control server Estas reglas en Deep Security Detectan y Bloquean el trafico C&C File Servers OtrosServers 18

19 Ransomware en file servers Detección y Prevención temprana Ransomware Infecta al usuario final Ransomware cifra archivos en carpetas compartidas aun cuando el servidor no esté infectado Detección: Rule Identifica actividad sospechosa que renombre las extensiones de archivos en carpetas compartidas EndPoints tienen montadas unidades hacia recursos compartidos - Detecta el renombre de hasta 50 extensiones relacionadas con ransomware. - Provee detección temprana 19 File Server - Windows or Linux (Samba) Detección y Protección: Rule Identifica actividad sospechosa que este renombrando archivos Actividades en recursos compartidos: - La regla previene el renombrado después de N renombres en T1 segundos, detiene por T2 segundos - Ej. Si Deep Security detecta 10 archivos renombrados en 60 seconds, se detiene cualquier actividad de renombre por Ej.24 hrs

20 Cambios no autorizados Monitoreo y alertamiento Los atacantes suelen ocultar su acdvidad modificando la configuración de las herramientas de detección. Un sistema de monitoreo de integridad podrá nodficar los cambios tan pronto como se produzcan. Accesos no autorizados a servidores Log InspecDon permite idendficar eventos se seguridad importantes en nuestro servidores 20

21 Industrias afectadas por Ransomware

22 No está de más recordar: Respaldos y Restauración Automá4co: 3 copias, 2 formatos, 1 ubicación diferente Clasificación y Control de la Información Limitar el acceso a la información crí4ca Mantener los parches al día Minimizar la posibilidad de exploit de vulnerabilidades No Pagar el Rescate Pagar alienta a los atacantes y no garan4za la devolución de los datos Educación y Concien4zación Mejores Prác4cas, Simulación, Entrenamientos Estrategia tecnológica robusta contra el Ransomware Implementar mejores prác4cas para la tecnología tradicional y complementar con tecnología especializada 22

23 Lo más importante es la condnuidad del negocio Somos capaces de sostener la operación del negocio si no podemos acceder a ciertos sistemas? Por cuánto Dempo? Alguna vez lo hemos probado? Conocemos la superficie de ataque de nuestros servidores? Puedo conocer en cualquier momento las vulnerabilidades de mis servidores? NO SEA OTRA VICTIMA 23 Copyright 2015 Trend Micro Inc.

24 24 Copyright 2015 Trend Micro Inc.

25 Gracias!