RansomwareConceitos e formas de prevenção

Maurício HarleyJunho de 2017

Veremos isto

• Quem é você

• Estatísticas

• Conceitos

• O que fazer pra não ser vítima

• Se for vítima, como proceder

2

Quem é o autor?

Quem é o autor?

• Maurício Harley

• CCIE Duplo (em Routing & Switching e em Service Provider);

• CISSP;

• MCSE Private Cloud (Microsoft);

• VCIX-NV (VMware NSX);

• Arquiteto Sênior na HX Brasil;

• Colaborador da revista PenTest Magazine;

• Perito Forense Computacional;

• Analista de Malware;

• Estudante de contrabaixo;

• Jogador de vídeo-game.

4

Estatísticas

Alguns Dados

6

Continuando com os dados

7

Fonte: Proof

Principais vítimas e vetores de ataques

8

O ”bom” e ”velho” WannaCry

9

Infográfico do NYTimes (WannaCry)

10

Dados sobre o WannaCry

11

Últimos Dados

12

Total: > US$ 110.000,00(em 23/05/2017)

O flagelo parou no WannaCry?

13

De volta ao WannaCry…

• A resposta simples à pergunta anterior é: não!

• Pelo menos duas crias (há controvérsias quanto a isso) apareceram depois do WannaCry:

• UIWIX;

• Adylkuzz.

• O primeiro pede resgate aproximado de US$ 200,00 em bitcoins;

• O segundo transforma o computador num minerador de Monero (outracriptomoeda) e parte de uma botnet.

14

Será possível?

15

Vítima: Meu salário é de apenas US$ 400,00.Você quer me cobrar mesmo assim? :-(

Criminoso: Não. Na verdade, nossa campanhana Tailândia foi um fracasso total. Nóssuperestimamos os salários das pessoas do seupaís.

Entããão, ok. Você não precisa pagar desta vez.Alteramos o ThunderCrypt para o modo dedescriptografia no seu computador. Assim, tãologo nosso servidor se comunique com suamáquina, a descriptografia terá início. Se issonão acontecer, avise-nos.

P.S.: Mas se na verdade, você tiver gostado dealgo no ThunderCrypt e quiser nos doar algumasxícaras de café, sinta-se sempre à vontade parafazer isso.

=

Alguns Conceitos

Uma Analogia

Uma comparação do ataque com uma ação no mundo real.

17

Anatomia do ataque

• Como funciona no mundo virtual.

18

19

O pagamento (Bitcoin)

• Criptomoeda disponibilizada como software de código livre em 2009;

• O criador é desconhecido e usa um pseudônimo de Satoshi Nakamoto;

• A ideia original era permitir o envio/recebimento de dinheiro, evitando taxas ouimpostos cobrados por bancos de países;

• Usa arquitetura descentralizada (lembra o BitTorrent?), gravando todas as transações num livro-razão chamado Blockchain;

• É possível realizar trocas entre bitcoins e moedas reais. Pode-se também ganharbitcoins através de uma operação de mineração;

• Praticamente impossível de rastrear, o que a torna extremamente atrativa para uso no mercado negro (deep web);

• Novas variantes vêm surgindo e mais avançadas: Monero e Zcash.

20

Escapando de RansomwareEm 10 Passos

O que fazer para não virar vítima (1)

Backup, backup, backup!

22

O que fazer para não virar vítima (2)

Realizar inventário dos ativos. 23

O que fazer para não virar vítima (3)

Criar cultura de gerenciamento de patches. 24

O que fazer para não virar vítima (4)

Transportar o backup de maneira segura para um local seguro. 25

O que fazer para não virar vítima (5)

Segmentar a rede. 26

O que fazer para não virar vítima (6)

Realizar conscientização de colaboradores quanto à segurança da informação. 27

O que fazer para não virar vítima (7)

Criar estratégia efetiva de comunicação para informar sobre malware. 28

O que fazer para não virar vítima (8)

Antes de ser atacado, decidir se pagará o resgate ou iniciará investigação. 29

X

O que fazer para não virar vítima (9)

Coordenar com seu fornecedor de segurança cibernética a análise de ameaçassobre dispositivos ou aplicações.

30

O que fazer para não virar vítima (10)

Executar testes frequentes de penetração nos sistemas. 31

Fui atacado. E agora?

32

Tenha calma!

• Bloqueie a comunicação entre os segmentos da rede. Se sua rede não for segmentada, complicou;

• Se você tem backup atualizado, antes de mais nada, relaxe. Reinstale o sistema, atualize-o, restaure o backup e seja feliz;

• O projeto No More Ransom divulga ferramentas gratuitas para desfazer o estrago de alguns ransomwares: https://nomoreransom.org/;

• Veja com seu fornecedor de segurança cibernética a existência de umaferramenta própria dele para descriptografia;

• Inicie a investigação da infecção. Se quiser, você pode convocar um peritocomputacional forense para isso. Neste caso, não desligue o computador e nemfaça mais nenhuma atividade nele. Simplesmente preserve a evidência.

33

Muito Obrigado! :-)