AUDITORIA Y SEGURIDAD INFORMATICA SA DE CV Platinum Reseller de Malwarebytes en México auditoria.com.mx
ENTENDIENDO EL PROBLEMA Malware que cifrará o bloqueará los archivos de datos y, a continuación, exigirá un pago de rescate para descifrarlos o desbloquearlos Tipos de Ransomware: Cifrado de archivos Bloqueo de pantalla Master Boot Record Cifrado de servidor web Bloqueo de dispositivo móvil D02-2
ATAQUE DE RANSOMWARE Origen: Email, en un archivo adjunto (archivo ejecutable, comprimido o de imagen) Sitio web malicioso o comprometido, en anuncios publicitarios maliciosos aprovechados por Exploit Kit El malware trabaja de forma silenciosa, sin que el usuario se dé cuenta Hasta que se visualiza la pantalla de bloqueo Nuevos archivos aparecen: TXT, HTML, imagen para fondo de pantalla Exige el pago de dinero por el desbloqueo D02-3
CÓMO SE PROPAGA EL RANSOMWARE Spam - enlaces o archivos adjuntos maliciosos Explotaciones de vulnerabilidades de seguridad Redireccionamiento de tráfico de Internet hacia sitios web maliciosos Sitios web legítimos con páginas web comprometidas Descarga al pasar (Drive-by-Download) Aprovechamiento de vulnerabilidades Anuncios publicitarios maliciosos Recompensa por contaminar a amigos D02-4
CARACTERÍSTICAS DEL RANSOMWARE Cifrado irrompible Cifra todo tipo de archivo, incluyendo el nombre del archivo Cifra MBR Pago en moneda Bitcoin Plazo limitado para pagar el rescate, so pena de duplicar el rescate o borrar los archivos Usa técnicas para evitar ser detectado por el antivirus tradicional Integrar la PC infectada en redes botnet Propagarse a otros dispositivos conectados (PC, unidades USB, comparticiones remotas) Extracción de datos D02-5
PORQUÉ EL RANSOMWARE TIENE ÉXITO El rescate es pagado No hay respaldos Paraliza la actividad del negocio Poca o nula educación del usuario sobre la seguridad de la información Hay vulnerabilidades no corregidas Falta de soluciones de seguridad que se necesitan tener Se espera que el antivirus proteja contra toda amenaza El ataque no es reportado Permanece encubierto Comunicación cifrada con los servidores Command & Control Aprovecha el anonimato, como TOR y Bitcoin Usa mecanismos anti-sandboxing para que el antivirus no lo recoja Despliega cargas cifradas para evitar al antivirus Comportamiento polimórfico que le permite mutar Puede permanecer inactivo hasta el momento oportuno CryptoWall CryptoLocker Locky Cerber Petya Rescate $1,000 - $3,000 USD D02-6
ENTENDIENDO EL PROBLEMA El Ransomware es un peligro claro y presente una epidemia! El Ransomware no se preocupa por: El tamaño del negocio La industria del negocio La ubicación del negocio Las soluciones de seguridad tradicionales existentes: NO fueron diseñados para combatir el ransomware NO puede detectar las técnicas evasivas del ransomware en evolución NO puede detener el ransomware Usan tecnologías de firmas estáticas y hechas de forma apresurada Qué tan peligroso es el cifrado del Ransomware para el negocio: Pagar NO garantiza la solución al problema (Llave no entregada, fallos al descifrar) D02-7
TOMANDO UNA MIRADA MÁS DE CERCA El Ransomware impacta: Endpoints golpeados Empresa bloqueada Empresa contra tiempo y dinero (Bitcoins) para recuperar datos Incluso si se paga el rescate: No hay garantía de recuperar los archivos Incertidumbre de si el atacante aún sigue en los sistemas - puertas traseras, movimientos laterales D02-8
2016, AÑO DEL RANSOMWARE RaaS (Ransomware como Servicio) para ciberdelincuentes con poco o ningún conocimiento Cerca de 400 variantes de ransomware en Q4 2016, la mayoría creadas por un nuevo grupo cibercriminal Los pagos de rescate sumaron el billón de dólares: FBI Un aumento del 267% una dominación sin precedentes de la amenaza 2017 no pinta que será diferente Se convirtió en el método favorito de ataque contra las empresas Tomó los titulares de los medios El malware de anuncios fraudulentos se convirtió en una amenaza sustancial para los consumidores y las empresas, superó las detecciones de ransomware El ransomware realiza un perfecto proceso automatizado, desde la infección hasta el pago D02-9
RECOMENDACIONES Respaldar, respaldar, respaldar... periódicamente Guardar respaldo en medios externos (Disco duro externo y la nube, desconectados del dispositivo) Activar el servicio de almacenamiento en línea sólo para sincronizar Mantener actualizado el sistema operativo y las aplicaciones Desactivar macros de Microsoft Office Configurar la seguridad y privacidad del navegador web Configurar el navegador web para usar complementos (p. ej. Adobe Flash Player, Adobe Reader, Java y Silverlight) sólo cuando sea necesario Eliminar complementos obsoletos e innecesarios Usar software bloqueador de anuncios No abrir correos electrónicos de spam o de remitentes desconocidos o sospechosos, ni descargar ni abrir archivos adjuntos, ni hacer click en enlaces que contenga Usar software Antivirus, Anti-Malware, Anti-Exploit y Anti-Ransomware, fiable y pagado Implementar controles para evitar la ejecución de programas en ubicaciones comunes de ransomware D02-10
RECOMENDACIONES ADICIONALES Sensibilización y entrenamiento sobre principios y técnicas de seguridad de la información. Configurar los controles de acceso con el privilegio mínimo en mente. Usar entornos virtualizados para ejecutar entornos de sistemas operativos o programas específicos. Categorizar los datos basados en el valor organizacional e implementar separación física/lógica de redes y datos para las diferentes unidades organizacionales. Requerir la interacción del usuario para que las aplicaciones de usuario final se comuniquen con sitios web sin categoría por el proxy de red o firewall. Implementar lista blanca de aplicaciones. D02-11
CÓMO MALWAREBYTES AYUDA Malwarebytes Endpoint Security Proporciona protección de ataque multi-nivel contra ataques basados en malware, exploit y ransomware Ahorra tiempo y dinero para las empresas Proporciona a los clientes la tranquilidad de que no tendrán que pagar un rescate ni se preocuparán por los efectos persistentes del ataque. Tecnología Anti-Ransomware Supervisa continuamente los endpoints de comportamientos de ransomware Sin firma Detecta y bloquea ransomware automáticamente D02-12
ROMPIENDO LA CADENA DE ATAQUE
ROMPIENDO LA CADENA DE ATAQUE Reconocimiento Entrega Explotación Ejecución de Carga Útil Comportamiento Malicioso D02-14
ROMPIENDO LA CADENA DE ATAQUE Reconocimiento D02-15
ROMPIENDO LA CADENA DE ATAQUE Reconocimiento Detección de huellas y tecnología de endurecimiento de aplicaciones El atacante realiza un reconocimiento en el equipo de punto final a través de un anuncio publicitario infectado, intentando identificar el sistema operativo, el tipo de navegador, la dirección IP y el programa de seguridad del equipo de punto final. Tecnología Malwarebytes: El endurecimiento de aplicaciones reduce la superficie de la vulnerabilidad, haciendo que la computadora sea más resistente, y detecta de forma proactiva las huellas digitales de intentos de ataques avanzados. (Sin firma) Tecnología Anti-Exploit Tecnología Anti-Malware D02-16
ROMPIENDO LA CADENA DE ATAQUE Reconocimiento Entrega La tecnología de bloqueo Web impide el acceso a sitios web maliciosos y phishing Cómo el atacante coloca su exploit y carga útil en el equipo de punto final. Tecnología Malwarebytes: La protección web protege a los usuarios al impedir el acceso a sitios web maliciosos, redes publicitarias, redes de estafa y otros lugares malintencionados. Tecnología Anti-Malware D02-17
ROMPIENDO LA CADENA DE ATAQUE Reconocimiento Entrega Explotación Tecnología de mitigación de exploits sin firma que impide la ejecución de shellcode El atacante explota el código vulnerable en el navegador web, Adobe Flash, Microsoft Word, etc., para entregar y ejecutar remotamente la carga útil del ransomware. Tecnología Malwarebytes: Las mitigaciones de Exploit detectan y bloquean proactivamente los intentos de abusar de vulnerabilidades y ejecutar código remotamente en la máquina (Sin firma). El comportamiento de la aplicación asegura que las aplicaciones instaladas se comporten correctamente y evita que se les abuse para infectar la máquina. (Sin firma). Tecnología Anti-Exploit D02-18
ROMPIENDO LA CADENA DE ATAQUE Reconocimiento Entrega Explotación Ejecución de Carga Útil Protección por comportamiento de aplicación sin firma y heurística de comportamiento de malware El atacante entrega y ejecuta la carga útil del ransomware en el sistema. Tecnología Malwarebytes: El análisis de la carga útil se compone de reglas heurísticas y de comportamiento para identificar familias enteras de malware conocido y relevante. Tecnología Anti-Exploit Tecnología Anti-Malware D02-19
ROMPIENDO LA CADENA DE ATAQUE Pre-Ejecución Reconocimiento Entrega Explotación Ejecución de Carga Útil Protección por comportamiento de aplicación sin firma y heurística de comportamiento de malware El atacante entrega y ejecuta la carga útil del ransomware en el sistema. Tecnología Malwarebytes: El análisis de la carga útil se compone de reglas heurísticas y de comportamiento para identificar familias enteras de malware conocido y relevante. Tecnología Anti-Exploit Tecnología Anti-Malware D02-20
ROMPIENDO LA CADENA DE ATAQUE Pre-execution Post-Ejecución Reconocimiento Entrega Explotación Ejecución de Carga Útil Comportamiento Malicioso Monitoreo especializado del comportamiento sin firma, prevención de fugas de datos a C&C, y tecnología de remediación de enlace El ransomware se activa en el sistema. Se pone en contacto con un servidor de comando y control para descargar las llaves de cifrado y luego encripta los archivos. Tecnología Malwarebytes: La mitigación de Ransomware es una tecnología de monitoreo del comportamiento que detecta y bloquea el ransomware de cifrar los archivos de los usuarios (Sin firma). La protección de devolución de llamada impide el acceso a servidores de comandos y control (C&C) y otros sitios web maliciosos. Tecnología Anti-Ransomware Tecnología Anti-Malware D02-21
MALWAREBYTES ANTI-RAMSOMWARE D02-22
TECNOLOGÍA AVANZADA ANTI-RANSOMWARE Características técnicas Motor dedicado de detección y bloqueo en tiempo real Tecnología propietaria de comportamiento de ransomware Identificación sin firma de ransomware desconocido (hora cero) Pequeña huella del sistema Compatible con soluciones de seguridad de terceros D02-23
TECNOLOGÍA AVANZADA ANTI-RANSOMWARE Ventajas Reduce la vulnerabilidad a ataques de ransomware La tecnología de monitoreo de comportamiento sin firma detecta y bloquea automáticamente ransomware desconocido. Protege los datos del negocio Detiene el ransomware antes de que los archivos sean cifrados, eliminando el riesgo de pérdida de datos. Salva los datos críticos del negocio y ayuda a evitar el pago de demandas cibernéticas de rescate. Construido a propósito para detener al ransomware Diseñado para derrotar el ransomware inmediatamente. Las ofertas de seguridad tradicionales se basan en técnicas obsoletas o en una colección de tecnologías reutilizadas que no fueron construidas originalmente para combatir el ransomware. D02-24
GRACIAS! auditoria.com.mx D02-25