Radiografía de un ataque ransomware

Transcripción

1 Radiografía de un ataque ransomware Juan Miguel Fernández Gallego Responsable técnico Área Seguridad IREO

2

3 Fases de un ataque ransomware

4 Cadena de fallos para un ataque ransomware con éxito

5 WannaCry

6 Sobre WannaCry - Ransomware: Cifrar datos y pedir rescate. - Primera explosión: viernes 12 de mayo - Variante de otro anterior: WannaCrypt0r - Exploit: Utiliza el Eternal Blue. DoublePulsar - Agujero: Ejecución de código remoto en SMBv1 - Aprovecha la vulnerabilidad crítica de Microsoft - CVE Parche MS publicado el 14 de marzo - Filtración de herramientas NSA: Grupo The Shadow Brokers - Kill Switch descubierto: ralentizó propagación - Paró cerca de infecciones pero había más variantes

7 El Mapa de WannaCry

8 WannaCry un paso más allá Vectores de infección: o Explotación de servicio vulnerable expuesto a Internet. SMB TCP 445 o Conexión de equipo infectado a la red local. o La más descartable - Spam masivo con enlace de descarga del dropper Cuando se descarga el dropper se infecta la máquina con ransomware. La máquina infectada comienza propagación a otros equipos vulnerables de la red.

9

10 Ataque simulado WannaCry

11 ADVERTENCIA PARA ESTA SIMULACIÓN SE UTILIZAN MUESTRAS DE MALWARE REAL EN UN ENTORNO VIRTUAL CONTROLADO. NO REPRODUCIR EN UNA RED REAL, NI PARA OTROS FINES QUE NO SEAN LA SIMULACIÓN.

12 Esquema de la prueba

13 Como parar WannaCry con Sophos Intercept X

14 Para el secuestro, mejor que un negociador

15 La Evolución de Sophos Endpoint Security Del Anti-Malware al Anti-Exploit y Next-Generation Prevención Exposición URL Blocking Web Scripts Reputacion Descarga Pre-Exec Analytics Generic Matching Heuristica Reglas básicas Escaneo Ficheros Firmas Malware Conocido Run-Time Sin Firmas Analítica Comportamiento y de Ejecución Detección Exploits Identificación Técnicas MALWARE TRADICIONAL AMENAZAS AVANZADAS

16 Sophos Intercept X Anti-Ransomware CryptoGuard Análisis de la Causa Raiz Anti-Exploit Detectar Amenazas Next-Gen Parar Cifrado Malicioso Basado en Comportamiento Restauración Automática de Ficheros Afectados Identificar el Origen del Ataque ADVANCED MALWARE Respuesta Automatica Incidentes Información valiosa al equipo IT Visualización Cadena de Procesos Recomendación Guía Remediación Limpieza Avanzada Malware Sophos Clean LIMITED VISIBILITY Prevenir Técnicas Exploit Prevención Exploits sin firmas Proteger los Zero-Day Bloquear Ataques Memory-Resident Bajos Falsos Positivos, menos impacto ZERO DAY EXPLOITS Prevenir Ataques Ransomware Revertir Cambios Análisis Cadena Ataque Respuesta Rápida Incidentes Visualización Causa Origen Fortalece Limpieza Forense No Impacta Usuario/Rendimiento No Escanea Ficheros Sin Firmas

17 ANTI- RANSOMWARE

18 CryptoGuard Interceptando Ransomware Monitoriza acceso ficheros Si detecta cambios sospechosos, genera copias Ataque detectado Proceso Malicioso detenido, investigación del histórico de proceso Iniciado Rollback Ficheros Originales restaurados Ficheros maliciosos eliminados Visibilidad Forense Mensaje a Usuario Alerta Administrador Detalles de Análisis Causa Raíz

19 ANÁLISIS DE CAUSA RAÍZ

20 Análisis de Causa Raíz Entendiendo el Quien, Qué, Cuando, Donde, Cuando, Porqué y sobre todo Cómo Qué ha ocurrido? Root Cause Analysis Reporting automatico del proceso / hilo / nivel de registro 90 días de reporting histórico Visión detallada representando que elementos han sido tocados Qué estuvo en riesgo? Elementos Comprometidos Listado comprensible de los documentos de negocio, ejecutables, librerías y ficheros Cualquier dispositivo adyacente (p.ej. móviles) o recursos de red que han podido ponerse en riesgo Plan de Seguridad Prevención Futura Recomendaciones basadas en el histórico de seguridad de los riesgos Provee los pasos para prevención de futuros ataques Reporting detallado del estado de Compliance

21 ANTI-EXPLOIT

22 Sophos Intercept X Anti-Exploit Prevención Exploits Monitoriza procesos que intenten usar técnicas de Exploits Bloquea la técnica cuando es intentada Previene que el Malware utilice la vulnerabilidad Método determinístico

23 Opciones de uso SOPHOS INTERCEPT X Sophos Central Endpoint Antivirus y soluciones endpoint de otras marcas 23

24 SOPHOS CENTRAL

25 Plataforma de Seguridad Sincronizada Sophos Central In Cloud On Prem UTM/Next-Gen Firewall Wireless Web Endpoint/Next-Gen Endpoint Mobile Server Encryption 25

26 Seguridad Sincronizada: Endpoint/Intercept X + XG Admin UTM/Next-Gen Firewall Security Heartbeat Endpoint/ Next-Gen Endpoint Automático Dinámico Contexto HeartBeat: Origen Destino Missing RED Heartbeat Firewall detects traffic from Endpoint!

27 Y como todo en seguridad puede fallar mejor Cifrar Sophos SafeGuard Encryption Integridad del usuario Integridad de la aplicación Integridad del sistema

28 Synchronized Encryption SafeGuard Management console NEXT-GEN ENDPOINT SECURITY Heartbeat System System returns infected! OK. to OK. SafeGuard key allows re-authenticates, can transparent temporarily user encryption/decryption downloads revoke the new key key 28

29 Preguntas?

30 Gracias