Ransomware: os perigos e como se proteger

Roberto Neigenfind – Bravo Tecnologia

Agenda

• A Indústria do Malware

• O que é Ransomware

• Como os criminosos atuam

• 5 motivos para não negociar com os bandidos

• Como sua empresa pode ser infectada

• Estratégias de Proteção

• Estratégias de Remediação das Perdas

decorrentes do Ransomware

A Indústria do Malware no

Brasil e no Mundo

Malware em escala industrial

310 MKaspersky Lab processou

310 Milhões de novos objetos

maliciosos por dia em 2016

7.87 BSonicWall identificou 7.87

Bilhões de tentativas de

ataques em 2016

Malware: mudança estratégica

• Objetivo até 2000: “desafio técnico”

• Invadir seu sistema, apagar seu dados

• “Aparecer”

• Objetivo pós 2000: “business”

• Roubar dinheiro, cartão de crédito, identidade

• Permanecer invisível

Brasil: o Rei dos Trojans Bancários

Brasil: 1º

lugar ataques

de trojans

bancários

(dados de Q1

de 2016,

Kaspersky

Lab)

Brasil: o Maior Alvo de Phishing

Brasil: 1º

lugar em

ataques de

phishing

(dados de

Q1 de 2016,

Kaspersky

Lab)

Brasil: Crescimento do Ransomware

Brasil: o maior crescimento de ataques de

Ransomware (60%) nos últimos 2 anos

O que é Ransomware

Ransomware: o vírus sequestrador

• Vírus que bloqueia ou criptografa seus dados e pede

resgate para devolver o acesso

• Para o criminoso: lucrativo, baixo risco, fácil de usar

• Pode usar alta criptografia, muitas vezes impossível

de ser quebrada.

• Afeta servidores, desktops, notebooks, mobile;

sistemas operacionais Windows, Mac, Linux, Android

• Alvo: todo documento importante!

Ransomware: o vírus sequestrador

Cerber

Polyglot

DMA Locker

CryptXXXLocky

Shade

Micha

Aura

Autoit

Pletor

Cryptokluchen

Cryakl

Petya

Lamer

Bitcryptor

Fury

Rakhni

TorLocker CTB-Locker

CryptoWall Rotor

Teslacrypt

BitLocker Wildfire Pletor

Rannoh CoinVaultCrysis

Vandev

Agent.iihCrybola CryptoLocker

Lortok

Xorist

Bitman (TeslaCrypt)

+120 Famílias

identificadas

Ransomware Linux.Encoder

Ransomware Linux.Encoder

Mabouia e KeRanger: MacOS

Mabouia e KeRanger: MacOS

Ransomware: smartphones Android

TorLocker: ransomware brasileiro

Novas versões a cada dia…

Novas versões a cada dia…

Novas versões a cada dia…

Não sabe fazer? Compra pronto!

Como os criminosos conseguem

pegar seu dinheiro

Bitcoin: o caminho para o dinheiro

Bitcoin: Moeda VirtualNão pode ser rastreada, não possui lastro

Pagamentos e recebimentos totalmente anônimos

Hidden Tear: ransomware brasileiro

Hidden Tear: ransomware brasileiro

Hidden Tear: ransomware brasileiro

Bitcoin: o caminho para o dinheiro

5 motivos para não negociar com

os bandidos

5 razões para não pagar o resgate

1. Pagar não é garantia de ter os arquivos de voltaalgumas versões de Ransomware possuem criptografia irreversível,

é impossível recuperar os arquivos, mesmo pagando

5 razões para não pagar o resgate

5 razões para não pagar o resgate

2. Você estará negociando com bandidosObviamente eles não tem ética. Eles são inalcançáveis.

Alguns deles pedem ainda mais dinheiro para liberar os arquivos

5 razões para não pagar o resgate

5 razões para não pagar o resgate

3. Você estará incentivando o crimeAssim eles continuam os ataques a outras empresas e pessoas.

Ao fazê-lo você torna real o ditado “o crime compensa”.

5 razões para não pagar o resgate

5 razões para não pagar o resgate

4. Nada garante que você não será atacado novamentePagar o resgate não te livra de sofrer um novo ataque.

Eles não possuem “consciência” para te livrar de um novo ataque.

Além disto você já demonstrou que tem dinheiro e paga o resgate

5 razões para não pagar o resgate

5. Em alguns casos é possível recuperar os arquivosVárias famílias de Ransomware já foram decifradas; você pode usar uma

ferramenta para descriptografar seus arquivos. Algumas versões possuem

falhas na implementação da criptografia e a recuperação pode ser feita.

Briga de Gato e Rato

A Kaspersky já decifrou CryptXXX, TeslaCrypt, Rakhni, Rannoh,

Shade, CoinVault, Wildfire, Xorist, Cryptokluchen, TeslaCrypt, Crysis,

Cryak, Bitcryptor, Vandev, Dharma, Chimera, etc.

https://noransom.kaspersky.com/

Briga de Gato e Rato

A Kaspersky já decifrou CryptXXX, TeslaCrypt, Rakhni, Rannoh,

Shade, CoinVault, Wildfire, Xorist, Cryptokluchen, TeslaCrypt, Crysis,

Cryak, Bitcryptor, Vandev, Dharma, Chimera, etc.

https://noransom.kaspersky.com/

Briga de Gato e Rato

CoinVault e WildFire:

• Kaspersky atuou com a

Polícia Holandesa

• 2 criminosos presos

• servidores com 15 mil

chaves recuperados.

Como sua empresa pode ser infectada e

tornar-se vítima do Ransomware

Ransomware: métodos de infecção

1. Arquivos e links maliciosos (https/ssl) em e-mails

Diversos formatos, presentes no ambiente corporativo:

MS Office: docx, xlsx, pptx (arquivos com macros)

Scripts: WSF, JS, JSE, VBS, VBE, etc.

Executáveis: CPL, SCR, PIF, COM

Compactados: ZIP, RAR, 7ZIP, Z, ZLIB, ARJ, etc.

Outros: HLP, XML, etc.

Ransomware: métodos de infecção

1. Arquivos e links maliciosos (https/ssl) em e-mails

Ransomware: métodos de infecção

1. Arquivos e links maliciosos (https/ssl) em e-mails

Ransomware: métodos de infecção

1. Arquivos e links maliciosos (https/ssl) em e-mails

Ransomware: métodos de infecção

2. Explorando falhas de sistemas não atualizados

Essencial manter atualizados:

• Windows, Browsers, MS-Office,

Sistema Android e Aplicativos

• Só usar software original

• download de fontes confiáveis

Ransomware: métodos de infecção

3. Exploits kits instalados em sites infectados

Seu usuário pode ser infectado pelo simples fato de ABRIR

uma página web! Basta ter um plugin desatualizado (FLASH)

Ransomware: métodos de infecção

4. Servidores: acesso remoto (RDP, VNC, outros)

BruteForce no RDP, não importa tamanho da senha

Ao entrar, desativa o antivírus + cifra os arquivos

A senha do seu VNC é 123456? Meus pêsames…

Senhas com 10 dígitos (maiúsculas, minúsculas, números e

especiais): 1 computador demora 6 anos para quebrar

https://howsecureismypassword.net/

Ransomware: métodos de infecção

5. Disseminados pela rede (unidades compartilhadas)

Rede com permissão de escrita e leitura por qualquer endpoint

Recepcionista clica no link e criptografa os arquivos no servidor

Tudo resolvido, mas, uma semana depois....

A outra Recepcionista que estava em férias, clica no link e

criptografa os arquivos no servidor, de novo.

Estratégias de Proteção contra Ransomware

Estratégia de Proteção

Múltiplas Camadas de Proteção com Soluções Avançadas

1. Next Generation Firewall com Sandbox

2. Antivírus com Sandbox nos endpoints (clientes, servidores e mobile)

3. Patch Management

4. Controle de Endpoints

5. Controle de Acesso Web

Só Ferramentas não são suficientes

1. Políticas Efetivas

2. Usuários Conscientes

3. Exceções: o diretor que pode tudo, o analista de desativa o antivírus

Next Generation Firewall com Sandbox

SonicWall Next Gen Firewall

• Tráfego SSL/HTTPS

• Application Intelligence

• Antivírus de rede

• Engines sandbox (3)

• Controle Acesso Web

• IDS/IPS

• Líder NSS Labs

• Ótimo custo/benefício

Next Generation Firewall com Sandbox

SonicWall Next Gen FW

• 3 engines sandbox

• Controle Acesso Web

• Tráfego SSL/HTTPS

• IPS/IDS

• Antivírus de gateway

• Application Intelligence

• Tráfego SSL/HTTPS

• Líder NSS Labs

• Ótimo custo/benefício

Antivírus com Múltiplas Camadas

Kaspersky: Pioneira e líder na descoberta de ameaças avançadas,

6 vezes líder Gartner, 70 vezes Top3 em 78 comparativos.

Antivírus com Múltiplas Camadas

Kaspersky: Pioneira e líder na descoberta de ameaças avançadas,

6 vezes líder Gartner, 70 vezes Top3 em 78 comparativos.

Kaspersky

Endpoint

Protection:

Proteção

contra

ameaças

conhecidas,

desconhecidas

e avançadas

(ATPs)

Antivírus com Múltiplas Camadas

Kaspersky

Endpoint

Protection:

Controle de

Aplicações,

Storage e Anti-

Cryptor para

Servidores

Windows

Controle de Endpoints

CONTROLE DE

DISPOSITIVOS

CONTROLE DE

ACESSO WEB

CONTROLE DE

APLICAÇÕES

Kaspersky Endpoint Protection: Integra antimalware com controle de

Endpoints e análise e remediação de vulnerabilidades

Controle de Endpoints

CONTROLE DE

DISPOSITIVOS

CONTROLE DE

ACESSO WEB

CONTROLE DE

APLICAÇÕES

Kaspersky Endpoint Protection: Integra antimalware com controle de

Endpoints e análise e remediação de vulnerabilidades

Estratégias de Remediação de Perdas

decorrentes do Ransomware

Estratégia de Remediação

Recuperação rápida de dados, baixos RPOs e RTOs

1. Backups Periódicos (soluções não baseadas em Windows)

2. Disaster Recovery Local e remoto

Backups Periódicos

Barracuda Backup Appliance: Jobs de Backup em Disco a cada 15 minutos

seguido por réplica para nuvem ou outro appliance em outra localidade.

Backups Periódicos

Barracuda Backup Appliance: Jobs de Backup em Disco a cada 15 minutos

seguido por réplica para nuvem ou outro appliance em outra localidade.

Zerto DR, Local, Remoto, Cloud Pública

Zerto Disaster Recovery: pode voltar no tempo a cada 5-10 segundo a

qualquer ponto no último mês, imediatamente antes do Ransomware.

Zerto DR, Local, Remoto, Cloud Pública

Zerto Disaster Recovery: pode voltar no tempo a cada 5-10 segundo a

qualquer ponto no último mês, imediatamente antes do Ransomware.

Mais informações (Vídeos)

SonicWall Security Solutions

Kaspersky Security for Enterprise

Barracuda Backup

Zerto Disaster Recovery

Kaspersky Security for Virtualization (KSV)

Obrigado / Q&A

Roberto Neigenfind

Founder and Head of

Technology and Marketing

roberto.neigenfind@bravotecnologia.com.br

+55(11)5543-2020 R 290

Bravo Tecnologia

VAR com 20 anos e mais de 1000 clientes satisfeitos

SonicWall, Kaspersky, Barracuda, Riverbed, VMware, Zerto

https://www.bravotecnologia.com.br