Post on 13-Apr-2017
Ransomware: os perigos e como se proteger
Roberto Neigenfind – Bravo Tecnologia
Agenda
• A Indústria do Malware
• O que é Ransomware
• Como os criminosos atuam
• 5 motivos para não negociar com os bandidos
• Como sua empresa pode ser infectada
• Estratégias de Proteção
• Estratégias de Remediação das Perdas
decorrentes do Ransomware
A Indústria do Malware no
Brasil e no Mundo
Malware em escala industrial
310 MKaspersky Lab processou
310 Milhões de novos objetos
maliciosos por dia em 2016
7.87 BSonicWall identificou 7.87
Bilhões de tentativas de
ataques em 2016
Malware: mudança estratégica
• Objetivo até 2000: “desafio técnico”
• Invadir seu sistema, apagar seu dados
• “Aparecer”
• Objetivo pós 2000: “business”
• Roubar dinheiro, cartão de crédito, identidade
• Permanecer invisível
Brasil: o Rei dos Trojans Bancários
Brasil: 1º
lugar ataques
de trojans
bancários
(dados de Q1
de 2016,
Kaspersky
Lab)
Brasil: o Maior Alvo de Phishing
Brasil: 1º
lugar em
ataques de
phishing
(dados de
Q1 de 2016,
Kaspersky
Lab)
Brasil: Crescimento do Ransomware
Brasil: o maior crescimento de ataques de
Ransomware (60%) nos últimos 2 anos
O que é Ransomware
Ransomware: o vírus sequestrador
• Vírus que bloqueia ou criptografa seus dados e pede
resgate para devolver o acesso
• Para o criminoso: lucrativo, baixo risco, fácil de usar
• Pode usar alta criptografia, muitas vezes impossível
de ser quebrada.
• Afeta servidores, desktops, notebooks, mobile;
sistemas operacionais Windows, Mac, Linux, Android
• Alvo: todo documento importante!
Ransomware: o vírus sequestrador
Cerber
Polyglot
DMA Locker
CryptXXXLocky
Shade
Micha
Aura
Autoit
Pletor
Cryptokluchen
Cryakl
Petya
Lamer
Bitcryptor
Fury
Rakhni
TorLocker CTB-Locker
CryptoWall Rotor
Teslacrypt
BitLocker Wildfire Pletor
Rannoh CoinVaultCrysis
Vandev
Agent.iihCrybola CryptoLocker
Lortok
Xorist
Bitman (TeslaCrypt)
+120 Famílias
identificadas
Ransomware Linux.Encoder
Ransomware Linux.Encoder
Mabouia e KeRanger: MacOS
Mabouia e KeRanger: MacOS
Ransomware: smartphones Android
TorLocker: ransomware brasileiro
Novas versões a cada dia…
Novas versões a cada dia…
Novas versões a cada dia…
Não sabe fazer? Compra pronto!
Como os criminosos conseguem
pegar seu dinheiro
Bitcoin: o caminho para o dinheiro
Bitcoin: Moeda VirtualNão pode ser rastreada, não possui lastro
Pagamentos e recebimentos totalmente anônimos
Hidden Tear: ransomware brasileiro
Hidden Tear: ransomware brasileiro
Hidden Tear: ransomware brasileiro
Bitcoin: o caminho para o dinheiro
5 motivos para não negociar com
os bandidos
5 razões para não pagar o resgate
1. Pagar não é garantia de ter os arquivos de voltaalgumas versões de Ransomware possuem criptografia irreversível,
é impossível recuperar os arquivos, mesmo pagando
5 razões para não pagar o resgate
5 razões para não pagar o resgate
2. Você estará negociando com bandidosObviamente eles não tem ética. Eles são inalcançáveis.
Alguns deles pedem ainda mais dinheiro para liberar os arquivos
5 razões para não pagar o resgate
5 razões para não pagar o resgate
3. Você estará incentivando o crimeAssim eles continuam os ataques a outras empresas e pessoas.
Ao fazê-lo você torna real o ditado “o crime compensa”.
5 razões para não pagar o resgate
5 razões para não pagar o resgate
4. Nada garante que você não será atacado novamentePagar o resgate não te livra de sofrer um novo ataque.
Eles não possuem “consciência” para te livrar de um novo ataque.
Além disto você já demonstrou que tem dinheiro e paga o resgate
5 razões para não pagar o resgate
5. Em alguns casos é possível recuperar os arquivosVárias famílias de Ransomware já foram decifradas; você pode usar uma
ferramenta para descriptografar seus arquivos. Algumas versões possuem
falhas na implementação da criptografia e a recuperação pode ser feita.
Briga de Gato e Rato
A Kaspersky já decifrou CryptXXX, TeslaCrypt, Rakhni, Rannoh,
Shade, CoinVault, Wildfire, Xorist, Cryptokluchen, TeslaCrypt, Crysis,
Cryak, Bitcryptor, Vandev, Dharma, Chimera, etc.
https://noransom.kaspersky.com/
Briga de Gato e Rato
A Kaspersky já decifrou CryptXXX, TeslaCrypt, Rakhni, Rannoh,
Shade, CoinVault, Wildfire, Xorist, Cryptokluchen, TeslaCrypt, Crysis,
Cryak, Bitcryptor, Vandev, Dharma, Chimera, etc.
https://noransom.kaspersky.com/
Briga de Gato e Rato
CoinVault e WildFire:
• Kaspersky atuou com a
Polícia Holandesa
• 2 criminosos presos
• servidores com 15 mil
chaves recuperados.
Como sua empresa pode ser infectada e
tornar-se vítima do Ransomware
Ransomware: métodos de infecção
1. Arquivos e links maliciosos (https/ssl) em e-mails
Diversos formatos, presentes no ambiente corporativo:
MS Office: docx, xlsx, pptx (arquivos com macros)
Scripts: WSF, JS, JSE, VBS, VBE, etc.
Executáveis: CPL, SCR, PIF, COM
Compactados: ZIP, RAR, 7ZIP, Z, ZLIB, ARJ, etc.
Outros: HLP, XML, etc.
Ransomware: métodos de infecção
1. Arquivos e links maliciosos (https/ssl) em e-mails
Ransomware: métodos de infecção
1. Arquivos e links maliciosos (https/ssl) em e-mails
Ransomware: métodos de infecção
1. Arquivos e links maliciosos (https/ssl) em e-mails
Ransomware: métodos de infecção
2. Explorando falhas de sistemas não atualizados
Essencial manter atualizados:
• Windows, Browsers, MS-Office,
Sistema Android e Aplicativos
• Só usar software original
• download de fontes confiáveis
Ransomware: métodos de infecção
3. Exploits kits instalados em sites infectados
Seu usuário pode ser infectado pelo simples fato de ABRIR
uma página web! Basta ter um plugin desatualizado (FLASH)
Ransomware: métodos de infecção
4. Servidores: acesso remoto (RDP, VNC, outros)
BruteForce no RDP, não importa tamanho da senha
Ao entrar, desativa o antivírus + cifra os arquivos
A senha do seu VNC é 123456? Meus pêsames…
Senhas com 10 dígitos (maiúsculas, minúsculas, números e
especiais): 1 computador demora 6 anos para quebrar
https://howsecureismypassword.net/
Ransomware: métodos de infecção
5. Disseminados pela rede (unidades compartilhadas)
Rede com permissão de escrita e leitura por qualquer endpoint
Recepcionista clica no link e criptografa os arquivos no servidor
Tudo resolvido, mas, uma semana depois....
A outra Recepcionista que estava em férias, clica no link e
criptografa os arquivos no servidor, de novo.
Estratégias de Proteção contra Ransomware
Estratégia de Proteção
Múltiplas Camadas de Proteção com Soluções Avançadas
1. Next Generation Firewall com Sandbox
2. Antivírus com Sandbox nos endpoints (clientes, servidores e mobile)
3. Patch Management
4. Controle de Endpoints
5. Controle de Acesso Web
Só Ferramentas não são suficientes
1. Políticas Efetivas
2. Usuários Conscientes
3. Exceções: o diretor que pode tudo, o analista de desativa o antivírus
Next Generation Firewall com Sandbox
SonicWall Next Gen Firewall
• Tráfego SSL/HTTPS
• Application Intelligence
• Antivírus de rede
• Engines sandbox (3)
• Controle Acesso Web
• IDS/IPS
• Líder NSS Labs
• Ótimo custo/benefício
Next Generation Firewall com Sandbox
SonicWall Next Gen FW
• 3 engines sandbox
• Controle Acesso Web
• Tráfego SSL/HTTPS
• IPS/IDS
• Antivírus de gateway
• Application Intelligence
• Tráfego SSL/HTTPS
• Líder NSS Labs
• Ótimo custo/benefício
Antivírus com Múltiplas Camadas
Kaspersky: Pioneira e líder na descoberta de ameaças avançadas,
6 vezes líder Gartner, 70 vezes Top3 em 78 comparativos.
Antivírus com Múltiplas Camadas
Kaspersky: Pioneira e líder na descoberta de ameaças avançadas,
6 vezes líder Gartner, 70 vezes Top3 em 78 comparativos.
Kaspersky
Endpoint
Protection:
Proteção
contra
ameaças
conhecidas,
desconhecidas
e avançadas
(ATPs)
Antivírus com Múltiplas Camadas
Kaspersky
Endpoint
Protection:
Controle de
Aplicações,
Storage e Anti-
Cryptor para
Servidores
Windows
Controle de Endpoints
CONTROLE DE
DISPOSITIVOS
CONTROLE DE
ACESSO WEB
CONTROLE DE
APLICAÇÕES
Kaspersky Endpoint Protection: Integra antimalware com controle de
Endpoints e análise e remediação de vulnerabilidades
Controle de Endpoints
CONTROLE DE
DISPOSITIVOS
CONTROLE DE
ACESSO WEB
CONTROLE DE
APLICAÇÕES
Kaspersky Endpoint Protection: Integra antimalware com controle de
Endpoints e análise e remediação de vulnerabilidades
Estratégias de Remediação de Perdas
decorrentes do Ransomware
Estratégia de Remediação
Recuperação rápida de dados, baixos RPOs e RTOs
1. Backups Periódicos (soluções não baseadas em Windows)
2. Disaster Recovery Local e remoto
Backups Periódicos
Barracuda Backup Appliance: Jobs de Backup em Disco a cada 15 minutos
seguido por réplica para nuvem ou outro appliance em outra localidade.
Backups Periódicos
Barracuda Backup Appliance: Jobs de Backup em Disco a cada 15 minutos
seguido por réplica para nuvem ou outro appliance em outra localidade.
Zerto DR, Local, Remoto, Cloud Pública
Zerto Disaster Recovery: pode voltar no tempo a cada 5-10 segundo a
qualquer ponto no último mês, imediatamente antes do Ransomware.
Zerto DR, Local, Remoto, Cloud Pública
Zerto Disaster Recovery: pode voltar no tempo a cada 5-10 segundo a
qualquer ponto no último mês, imediatamente antes do Ransomware.
Mais informações (Vídeos)
SonicWall Security Solutions
Kaspersky Security for Enterprise
Barracuda Backup
Zerto Disaster Recovery
Kaspersky Security for Virtualization (KSV)
Obrigado / Q&A
Roberto Neigenfind
Founder and Head of
Technology and Marketing
roberto.neigenfind@bravotecnologia.com.br
+55(11)5543-2020 R 290
Bravo Tecnologia
VAR com 20 anos e mais de 1000 clientes satisfeitos
SonicWall, Kaspersky, Barracuda, Riverbed, VMware, Zerto
https://www.bravotecnologia.com.br