proteção x sequestro de dados pessoais - a importância ... · ransomware –nova modalidades...
TRANSCRIPT
1© www.washingtonalmeida.com.br - Perícias Digitais
Proteção X Sequestro de DadosPessoais - A importância daconscientização sobre proteção dedados pessoais;
Ransomware – Nova modalidadessequestro de dados; precauções epontos de atenção para empresas
01
Washington U. Almeida Jr.
Engenheiro Eletrônico – Perito Forense Digital
www.washingtonalmeida.com.br
Painel 2
2© www.washingtonalmeida.com.br - Perícias Digitais
Ransomware em ação02
3© www.washingtonalmeida.com.br - Perícias Digitais
Sobre os tipos de vírus03
Malware:
O termo malware é proveniente do termo em inglês malicious software; é um software destinado a
infectar um sistema de computador alheio de forma ilícita, que tem como principal característica a
execução de uma ação no dispositivo infectado.
Spywares:
Categoria de malware que têm como objetivo monitorar as atividades de um sistema, enviando os dados
e as informações coletadas.
Bots e Botnets:
Programas capazes de se propagar utilizando falhas nos programas, permititindo comunicação com o
invasor, e, portanto, são controlados remotamente.
Cavalo de Tróia – Trojan Horse:
Programas projetados para serem recebidos como “presentes”, porém, além de executar as funções para
as quais foram programados, executam outras sem o conhecimento do usuário.
Worms:
É um tipo de malware capaz de se propagar automaticamente por meio de redes, enviando cópias de si
para outros computadores, a partir de falhas em programas.
Keyloggers:
Programas que capturam e armazenam as teclas digitadas no computador infectado.
4© www.washingtonalmeida.com.br - Perícias Digitais
4.1 Ransomware é um Malware;
4.2 Bloqueio de acesso a arquivos e sistemas;
4.3 Encripta os arquivos de dados da vítima;
4.4 Resgate dos dados mediante pagamento;
4.5 Moeda de negociação: Bitcoin, ethereum, etc.
4.6 Locker
4.7 Crypto
Categorias:
O que é o Ransonware?04
5© www.washingtonalmeida.com.br - Perícias Digitais
Website
comprometidoE-mail Phishing
Outros tipos de malware
Programas de origem suspeita
Patches
WannaCry
Patch MS17-010
Apk suspeitosOutras vulnerabilidades:
A.V. desatualizados
Dispositivo USB
Você pode ser infectado por ransomware quando:05
HD Externo
https://ransomwaretracker.abuse.ch/feeds/
6© www.washingtonalmeida.com.br - Perícias Digitais
Locker:
Bloqueia a tela
Crypto:
Criptografa arquivos
Tela do ransomware:
Instruções para resgateRansomware alcança
o computador
Estágios da infecção:
1. Distribuição:
Phishing, links falsos, anexos de e-mails, macros office, etc;
2. Infecção:
O malware alcança o computador e inicia os processos necessários para completar as atividades de
infecção;
3. Comunicação:
O malware se comunica com os servidores de chave de criptografia para obter a chave pública necessária
para criptografar os dados;
4. Pesquisa no ambiente:
O ransomware procura por arquivos em todos os drives;
5. Criptografia:
Pontos de restauração e Volume Shadow Copy são excluídos e os arquivos são criptografados;
6. Extorsão:
Pedido de resgate mediante pagamento em crypto moeda, normalmente o bitcoin.
Ransomware: Anatomia do ataque06
7© www.washingtonalmeida.com.br - Perícias Digitais
Ransomware: Evolução07
682%
Fonte: F-Secure (www.f-secure.com)
8© www.washingtonalmeida.com.br - Perícias Digitais
Fonte: https://intel.malwaretech.com/botnet/wcrypt/?t=24&bid=all – Acesso: 12 de Maio, 2017
Penetração do WannaCry em 12/05/201708
9© www.washingtonalmeida.com.br - Perícias Digitais
Redes Industriais - ICS09
10© www.washingtonalmeida.com.br - Perícias Digitais
Controle das Redes Industriais - Sistemas SCADA10
11© www.washingtonalmeida.com.br - Perícias Digitais
Ransomware nas redes industriais – ICS11
1982 20162001 2005 2006 2007 2008 2012 2013 2014 2015
Indústria de
petróleo
Russia
Sistema de
tratam. água
Maroochi
Austrália
Controle de
transporte
USA
Campanha DUQU
Sistemas SCADA
ASIA
Tehama Colusa
Canal Authority
USA
Navio indústria
USA
Marinha
da França
Companhia de
petróleo do Irã
Operação noite do dragão
EXXO, Shell, BP, entre
outras
Campanha
Mundial
SCADA update
Siemens Simatic
GE Cimplicity
Advantec
-----
Campanha
Havex botnet
Múltiplos alvos
BlackEnergy
Malha de
energia
Ucrânia
-----
Indústria de
Aço
Alemanha
Kemuri
Water
Company
USA
-----
Indústria de
móveis - GO
Brasil
Campanha
Blaken
GE Cimplicity
Sistema de
Água e
energia
Coréia
Sistema de
Transporte
Coréia
Grande
empresa de
Energia
do Sul do
Brasil
Central
Nuclear
Alemanha
WannaCry
2017
British Airways
Railcorp
Delta Airlines
Campanha
Stuxnet
Instalações
nucleares
Irã
Usina Nuclear
Davis-Besse
USA
-----
Gasoduto de
Bellingham
USA
Gasoduto
Trans-Sib.
Russia
Mirai
12© www.washingtonalmeida.com.br - Perícias Digitais
Rede Industrial
Rede Corporativa
Internet
Ransomware nas redes industriais - ICS (cont.)12
Nível de Supervisão
Nível de Controle
Nível de Campo
13© www.washingtonalmeida.com.br - Perícias Digitais
Ransomware nas redes industriais - ICS (cont.)13
Rede Industrial
Rede Corporativa
Internet
14© www.washingtonalmeida.com.br - Perícias Digitais
Manutenção por terceiros
Ransomware nas redes industriais - ICS (cont.)14
Rede Industrial
Rede Corporativa
Internet
15© www.washingtonalmeida.com.br - Perícias Digitais
Ransomware nas redes industriais - ICS (cont.)15
Rede Industrial
Rede Corporativa
Internet
16© www.washingtonalmeida.com.br - Perícias Digitais
Ransomware nas redes industriais - ICS (cont.)16
Rede Industrial
Rede Corporativa
Internet
17© www.washingtonalmeida.com.br - Perícias Digitais
Ransomware nas redes industriais - ICS (cont.)17
Hosts: 797.464.207Web: 132.122.605 Consulta em 20/06/2017
ZoomEye é um motor de busca para o ciberespaço para varredura de portas e análise de fingerprint
18© www.washingtonalmeida.com.br - Perícias Digitais
Ransomware nas redes industriais - ICS (cont.)18
19© www.washingtonalmeida.com.br - Perícias Digitais
Vetor de infecção E-mail’s SPAM, links internet;
Criptografia Algoritmo AES-256 e RSA;
Tempo de persuação Após 100hs custo para o resgate dobra;
Método de persuação Permite descriptografar um arquivo;
Características Exclui volume shadow copy epontos de restauração;
Geração das chaves Armazenado em servidor C2 remoto;
Alterações Desabilita o Gerenciador de Tarefas;
Método (*) Chaves de registro do Windows: “Run” e “Run Once”;
Ransomware: Padrões observados e ações19
Bloquear os serviços de proxy TOR, I2P, domínios .onion e
endereços IP’s maliciosos (blacklist).https://ransomwaretracker.abuse.ch/feeds/
20© www.washingtonalmeida.com.br - Perícias Digitais
Processo de decriptografia iniciado Processo de decriptografia finalizado
Ransomware: Engenharia Social x Hackers20
21© www.washingtonalmeida.com.br - Perícias Digitais
Recomendações para Backup21
A EMPRESA ESTÁ MONITORANDO O SISTEMA DE BACKUP?
BACKUPS TIPO DE BACKUP TOLERÂNCIA À
FALHAS
Como está o sistema de backup? Serviço é terceirizado? Quem monitora?
•Mantenha
atualizados;
•Monitore os logs
diariamente.
•Automático;
•Espelhamento
passivo.
•E se o backup
falhar?
•Possui
redundância?
O BACKUP SERÁ A MELHOR ALTERNATIVA SE O RANSOMWARE ALCANÇAR OS ATIVOS DA EMPRESA
FREQUÊNCIA
•Diário;
•Alteração dos
dados.
22© www.washingtonalmeida.com.br - Perícias Digitais
Backup Faça backup regularmente1
Software Adquira somente produtos
originais e mantenha-os
atualizados
3
E-mails Pense duas vezes antes de
abrir qualquer e-mail4
Antivírus/Anti-Ransom Mantenha sistemas de
proteção atualizados2
Mídias removíveis Verifique as mídias externas
antes de acessar os dados5
Recomendações gerais aos usuários22
23© www.washingtonalmeida.com.br - Perícias Digitais
Antivírus/Anti-Ransom Manter atualizados e monito-
rar logs diariamente1
Revisão das políticas Revisar periodicamente as
políticas de segurança da
informação
3
Testes de penetração Simular testes de invasão4
Revisão dos sistemas Auditoria de software,
considere fazer uso do
Windows AppLocker
2
Treinamento Conscientizar e treinar os
usuários5
Recomendações Corporativas23
24© www.washingtonalmeida.com.br - Perícias Digitais
Washington U. Almeida Jr.
Engenheiro Eletrônico – Perito Forense Digital
www.washingtonalmeida.com.br
FIM24