RANSOMWARE. o cuando el secuestro llega a tus datos. 14 de junio de 2017 FIng - UdelaR

Transcripción

1 RANSOMWARE o cuando el secuestro llega a tus datos Hugo Köncke Gerente Regional de Consultoría hkoncke@sadvisor.com 14 de junio de 2017 FIng - UdelaR

2 AGENDA Generalidades Caso WannaCry Contramedidas generales Panorama futuro Pagar o no pagar? Conclusiones

3 GENERALIDADES Características más relevantes Software malicioso que una vez instalado en un sistema, encripta la mayor cantidad de archivos que puede. Quien está por detrás del ataque, exige el pago de un rescate para entregar la clave que permite ejecutar el proceso inverso. No siempre el pago garantiza la entrega de la clave. No siempre la entrega de la clave garantiza un proceso inverso exitoso. El módulo de des-encriptación puede estar incluido en el software original o no, debiendo ser enviado por los secuestradores junto con la clave necesaria, en caso de que se pague.

4 GENERALIDADES Variantes Existen demasiadas como para enumerarlas y describirlas. Hay tipos básicos de comportamiento con características definidas. Están en constante evolución y suelen combinar características. Hoy en día ya incluyen comportamiento de gusano. A continuación se comentan algunas de las variantes existentes más representativas. Los nombres presentados son los dados a las primeras versiones detectadas y de todas ellas existen cientos de derivaciones por lo que no son más que referenciales.

5 GENERALIDADES Variantes JIGSAW (personaje de ficción de la saga Saw ) Elimina archivos en forma periódica para que la necesidad de pagar el rescate cada vez sea mayor. Cada hora que pasa sin que se pague el rescate, se elimina un archivo encriptado, haciéndolo irrecuperable se pague o no. Además elimina un extra de archivos cada vez que se reinicia el equipo y arranca el SO. PETYA (significa piedra en ruso) Encripta discos enteros. Cifra la tabla maestra de archivos del disco (FAT), donde está toda la información sobre cómo se asigna el espacio del mismo a los archivos y directorios que contiene.

6 GENERALIDADES Variantes KIMCILWARE (parece derivar de un nombre propio indonesio o malayo) Encripta datos en servidores web. Pertenece a un sub-tipo llamado RansomWeb porque infecta servidores web explotando vulnerabilidades, cifrando las bases de datos y los archivos alojados en él. Deja inoperativo el sitio web hasta que se pague el rescate. LOCKY, LOCKER y derivados Los miembros de esta familia detectan la actividad del protocolo de red SMB (Server Message Block) y buscan cifrar todos los dispositivos conectados. Encriptan numerosos tipos de archivos en cualquier directorio en cualquier unidad a la que puedan acceder. Afectan unidades extraíbles, unidades compartidas en la red desde servidores y otros equipos (suele no importar el SO) y últimamente alcanzan lo más crítico, la nube.

7 GENERALIDADES Variantes MAKTUB (en árabe significa está escrito, es como debe ser ) Comprime los archivos antes de cifrarlos Cambia al azar de extensiones usadas y de clave en cada corrida (cada reinicio), no necesita estar online Llega mediante un correo con un documento legible adjunto de supuestos términos de servicio, que si se abre dispara la instalación y ejecución TOX y otros servicios Ransomware-as-a-Service Es gratuito. Solo hay que registrarse en el sitio. Se basan en cripto-monedas como Bitcoin. Es anónimo. Funciona tal como promete y es altamente efectivo. Una vez registrado, el usuario arma el ataque, ingresa el monto del rescate (el sitio retiene el 30% en el caso de Tox), ingresa una causa, un captcha, y listo.

8 GENERALIDADES Vectores de ataque Nada diferentes del resto del malware Principalmente mediante adjuntos en correos En estos casos se recurre a la ingeniería social También en modalidad drive-by en sitios web En estos casos se aprovechan vulnerabilidades, tanto de los sitios como de los sistemas desde los que se les accede Últimamente, también mediante el abuso de puertos abiertos en firewalls

9 GENERALIDADES Vectores de ataque modo drive-by 1. Usuario con sistema vulnerable visita sitio web comprometido con un IFrame invisible 2. El IFrame invisible embebido en la página carga en forma secreta otra página 3. Esta página redirecciona a otra página que contiene un exploit 4. Si el exploit tiene éxito, el malware se descarga desde otro servidor al sistema de la víctima Usuario Servidor Web malicioso o comprometido Redireccionador Servidor con exploit Servidor con malware

10 CASO WANNACRY Generalidades WannaCry, WCry o WannaCrypt0r Primera aparición: febrero 2017 (versión 1) Segunda aparición: 12 de mayo 2017 (versión 2) Parche de MS disponible desde el 14 de marzo 2017 Alcanzó más de 100 países y sistemas en 48 horas Actualmente se reportan casos en más de 150 países Unos sistemas afectados en total Vector más evidente: puertos abiertos (SMB) Rescate pedido por sistema: aproximadamente U$S 300

11 CASO WANNACRY Componentes Dropper Encriptador Desencriptador Archivo comprimido protegido con contraseña Copia del navegador Tor Archivos de configuración y claves de encriptación

12 CASO WANNACRY Propagación Exploit ETERNALBLUE (aparentemente creado por la NSA), liberado por el grupo Shadow Brokers el 14/04/2017. Actúa en el compromiso inicial. Exploit DOUBLEPULSAR, actúa como gusano y propaga la infección. El protocolo SMB versión 1 en varias versiones de Windows acepta paquetes que permiten ejecución remota de código, lo que aprovechan los exploits. Puertos utilizados 139 y 445 TCP / 137 y 138 UDP Vulnerabilidad CVE resuelta por Microsoft desde el 14/03/2017 mediante el boletín crítico de seguridad MS Obsérvese que pasaron casi 2 meses entre la publicación del parche oficial de Microsoft que evita la propagación y el ataque masivo.

13 CASO WANNACRY Pantalla primaria presentada

14 CASO WANNACRY Pantalla de error

15 CASO WANNACRY Funcionamiento dropper El dropper busca el dominio

16 CASO WANNACRY Funcionamiento Contenido del archivo comprimido: Directorio msg conteniendo archivos Readme en varios idiomas encriptador b.wnry imagen con instrucciones de desencriptación c.wnry archivo con varias direcciones de la dark web r.wnry instrucciones adicionales para desencriptación s.wnry comprimido con ejecutable Tor taskdl.exe programa de borrado taskse.exe programa que detecta conexiones remotas y propaga el malware u.wnry programa de desencriptación

17 CASO WANNACRY Características principales Multi-lenguaje, 28 idiomas Instala y usa Tor para comunicarse Programado en C / C++ y algo en VBS Recuperación imposible sin la clave, salvo en XP Encripta con AES 2048-bit Afecta 170 tipos de archivos Apéndice agregado a los archivos encriptados: WNCRYT Encripta archivos en todas las unidades al alcance Crea un semáforo (mutex) para no reinfectarse Tiene kill-switch (esto permitió frenarlo) No usa técnicas de evasión Da dos plazos; vencido el primero el rescate se duplica Vencido el segundo, se pierde la posibilidad de rescate

18 CASO WANNACRY Tipos de archivos afectados.123.3ds.3g2.3gp.602.7z.accdb.aes.ai.arc.asc.asf.asm.asp.avi.backup.bak.bmp.brd.bz2.c.class.cmd.cpp.crt.cs.csr.csv.db.dbf.dch.der.dif.dip.djvu.docb.docm.docx.dot.dotm.dotx.dwg.eml.fla.flv.frm.gif.gz.h.hwp.ibd.iso.jar.java.jpeg.jpg.js.jsp.key.lay.lay6.ldf.m3u.m4u.max.mdb.mdf.mid.mkv.mml.mov.mp3.mp4.mpeg.msg.myd.myi.nef.odb.odg.odp.ods.odt.onetoc2.ost.otg.otp.ots.ott.p12.paq.pas.pdf.pem.pfx.php.pl.png.pot.potm.potx.ppam.pps.ppsm.ppsx.ppt.pptm.pptx.ps1.psd.pst.rar.raw.rb.rtf.sch.sh.sldm.sldm.sldx.slk.sln.snt.sqlite3.sqlitedb.stc.std.sti.stw.suo.svg.swf.sxc.sxd.sxi.sxm.sxw.tar.tbk.tgz.tif.tiff.txt.uop.uot.vb.vbs.vcd.vdi.vmdk.vmx.vob.vsd.vsdx.wav.wb2.wk1.wks.wma.wmv.xlc.xlm.xls.xlsb.xlsm.xlt.xltm.xltx.xlw.zip

19 CASO WANNACRY Evolución, ahora qué sigue? Muy pronto aparecieron imitadores; UIWIX es uno de ellos; se comporta igual Además, hay nuevos exploits similares a los usados por WannaCry ya disponibles EternalRocks (también llamado MicroBotMassiveNet) es un gusano que usa 4 exploits y 2 herramientas, también supuestamente creadas por la NSA SMBTOUCH y ARCHITOUCH son las herramientas usadas para detectar servicios SMB expuestos ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE y ETERNALSYNERGY, son los exploits SMB usados para comprometer los sistemas vulnerables Los exploits usados, no están resueltos en el parche publicado en marzo de 2017 También usa la herramienta DOUBLEPULSAR para propagarse a otros sistemas dentro de la red, una vez infectado el primero Todavía no hay noticias de que EternalRocks esté siendo utilizado en forma maliciosa; hasta el momento solo ha sido una prueba de concepto

20 CASO WANNACRY Cómo funciona ETERNALROCKS? Crea varios directorios y archivos Se ejecuta en dos etapas de ejecución, diferidas por ahora 24 horas (evasión) Crea 3 semáforos para evitar reinfecciones Verifica si hay alguna actualización en un sitio de la dark web y si la hay, la descarga Descarga el navegador Tor Crea 3 tareas programadas Modifica el firewall para permitir que los programas instalados tengan salida Modifica el firewall para bloquear conexiones entrantes al puerto 445 Instala DOUBLEPULSAR para seguir propagándose Por el momento, no se sabe que se esté usando con fines maliciosos

21 CASO WANNACRY Algunas curiosidades

22 CASO WANNACRY Algunas últimas noticias

23 CASO WANNACRY Algunas últimas noticias

24 CASO WANNACRY Algunas últimas noticias

25 CASO WANNACRY Conclusiones primarias Aparente ensayo Seguramente aparezcan muchos sucesores Se están publicando exploits desconocidos Hay agencias gubernamentales por detrás Juegos de guerra? Los ataques de día-0 van a ser + frecuentes

26 CONTRAMEDIDAS En general Hacer respaldos de todos los datos críticos Verificar que los respaldos queden bien hechos Aplicar actualizaciones y parches en cuanto sea posible Aislar del resto de la red los sistemas no actualizables Dejar abiertos en firewalls solo los puertos necesarios Concientizar al personal sobre los riesgos existentes

27 CONTRAMEDIDAS En general

28 PANORAMA FUTURO Mayores potencialidades del nuevo malware Malware-as-a-Service; hágalo usted mismo, vía web Insuficiencia de la tecnología como defensa Ransomware para smartphones Ransomware de las cosas (RoT)

29 PANORAMA FUTURO Ransomware para smartphones Primer trimestre 2017: secuestrados Último trimestre 2016: secuestrados Más de 15 familias diferentes conocidas Dos grandes tipos: De bloqueo de pantalla (secuestra el acceso) Criptográfico (secuestra los datos) Vector: troyanos en descargas hechas por el usuario En algunos casos llegan a formar botnets

30 PANORAMA FUTURO Ransomware para smartphones Borrar el contenido del dispositivo Más allá de la funcionalidad principal de bloquear el dispositivo y mostrar el mensaje de rescate, estas son las principales funciones adicionales detectadas: Restablecer el código de bloqueo de pantalla Abrir una URL arbitraria en el navegador Enviar un SMS a contactos en general o específicos Bloquear o desbloquear el dispositivo Extraer (copiar) los mensajes SMS recibidos Extraer (copiar) los contactos Variar el mensaje de pedido de rescate Actualizarse a una nueva versión Habilitar/deshabilitar datos móviles Habilitar/deshabilitar WiFi Rastrear la ubicación del dispositivo por GPS

31 PANORAMA FUTURO Ransomware para smartphones Gráfico extraído del informe El auge del ransomware para Android, de la firma ESET

32 PANORAMA FUTURO Ransomware para smartphones Cloak & Dagger Nueva clase de ataques que afecta a todas las versiones de Android Permiten que la app maliciosa controle totalmente el dispositivo sin que el usuario tenga la menor idea de lo que está sucediendo Requieren solamente 2 permisos que no necesitan ser concedidos por el usuario en caso de bajar la app desde Play Store de Google Están afectadas hasta las últimas versiones de Android, incluyendo la Ataques posibles: clickjacking avanzado, captura irrestricta de digitaciones, robo silencioso de cualquier dato, instalación de aplicaciones con todos los permisos habilitados que pueden ejecutar acciones arbitrarias manteniendo la pantalla apagada Extremadamente peligroso, por su potencial y alcance

33 PANORAMA FUTURO Ransomware para smartphones Cloak & Dagger como saber que aplicaciones instaladas tienen los permisos de riesgo Android y 6.0.1: Permiso "draw on top": Ajustes Aplicaciones Engranaje" (arriba a la derecha) Verificar: Superponerse a otras aplicaciones (en 7.1.2, bajo Avanzada ). Permiso a11y: Ajustes Accesibilidad Bajo Servicios: revisar que aplicaciones aparecen. Android 5.1.1: Permiso "draw on top": Ajustes Aplicaciones Chequear en cada app y buscar el permiso Superponerse a otras aplicaciones. Permiso a11y: Ajustes Accesibilidad Bajo Servicios: revisar que aplicaciones aparecen.

34 PANORAMA FUTURO Ransomware para IoT, o RoT Secuestro de todo tipo de dispositivos conectados a Internet Componentes domóticos Electrodomésticos en general Dispositivos médicos y de monitoreo de actividad física Juguetes Automóviles Hiper-conectividad, a menudo innecesaria Carrera por llegar al mercado; la seguridad no paga Negligencia por parte de los consumidores al no exigir seguridad

35 PAGAR O NO PAGAR? Lo positivo de pagar el rescate Recepción de clave; recuperación de archivos secuestrados Reducción de impacto sobre responsabilidades de la organización Mantenimiento de productividad; caso menos malo Preservación de vidas en riesgo (salud, infraestructuras críticas) Preservación de confianza e imagen públicas

36 PAGAR O NO PAGAR? Lo positivo de NO pagar el rescate Se desalienta la proliferación de la práctica No se pacta con delincuentes Pagar no asegura nada

37 PAGAR O NO PAGAR? Quién tiene la razón? Ambas posturas tienen parte de razón. No es todo blanco o negro, depende de cada caso. Cada situación es diferente; las urgencias a menudo mandan. Una recuperación puede llevar días, semanas o ser imposible. La decisión de pagar puede pasar por mantener vivo el negocio; políticas y principios suelen perder la partida.

38 CONCLUSIONES El ransomware vino para quedarse. La tecnología no ayuda demasiado, nuestras conductas tampoco. Una actitud proactiva y responsable es la única defensa.

39