palestra "scada ransomware"

43
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados. SCADA Ransomware Marcelo Branquinho Maio de 2016

Upload: ti-safe-seguranca-da-informacao

Post on 12-Jan-2017

73 views

Category:

Technology


0 download

TRANSCRIPT

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

SCADA Ransomware

Marcelo Branquinho

Maio de 2016

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Quem somos

Missão

Fornecer produtos e serviços de qualidade para a

Segurança das Infraestruturas Críticas

Visão

Ser referência de excelência em serviços de Segurança

de redes de automação e SCADA

• Escritórios

Rio de Janeiro

São Paulo

Salvador

• Representantes comerciais em todas as

regiões do Brasil

Rio de Janeiro

São Paulo Salvador

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Líder em segurança SCADA no Brasil Fornecemos soluções de segurança da informação para redes industriais das principais infraestruturas críticas Brasileiras.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Sistemas SCADA

• Os sistemas SCADA são

utilizados em processos

industriais, como na produção

de aço, produção de energia

(convencional e nuclear),

distribuição de energia,

metalomecânica, indústria

química, estações de

tratamento de águas, etc.

SCADA = Supervisory Control And Data Acquisition

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Ameaças mudaram: Ataques avançados

Data Data Internet

Encryption Targeted

OBJETIVO: Lucratividade, Sabotagem

e conflitos entre nações • Organizados

• Ataques direcionados

• Financiado – Industria foco

crescente

OBJETIVO: Notoriedade • Uma pessoa, grupos pequenos

• Conhecimento e Recursos

limitados

• Ataques básicos

Internet ? Passado

Presente

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

SCADA/ICS – A tempestade perfeita para ciberataques

Migração para protocolo IP,

Mais uso do Windows

Maior Conectividade

(Interna, Externa, VPN, Orgs,

Fabricantes)

Tradicionalmente

baixa maturidade de

segurança

cibernética

Patches não frequentes de

Sistemas operacionais

Número e sofisticação dos

ataques específicos em

redes de automação

crescentes

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Desafio – Aumentar a visibilidade

Visibilidade de aplicações e detecção de anomalias em SCADA

Visibilidade granular no protocolo industrial, aplicativo, usuário e nível de conteúdo

7 | ©2015, Palo Alto Networks

Rede de Controle

Funções de Protocolos

Industraiis

(ex: Leituras vs escritas

Identificar

aplicações

customizadas

Uso não apropriado

Garantir conteudo

é transferido somente dentro

do perimetro Industrial

Potenciais ameaças

Auditoria/Normas e

Conformidade

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Desafio – Prevenção de Sabotagens e Desastres

Visibilidade e Controle contra operações industriais não autorizadas

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Desafio – Malware Moderno impactando produção industrial

Controle do desconhecido e ameaças avançadas persistentes

9 | ©2015, Palo Alto Networks

Repository for Industrial Security Incidents (RISI) Banco de dados de incidentes que afetam o controle de processos e sistemas SCADA

Segundo os dados do RISI, o incidente mais

comum em redes de automação é o ataque por

malware, que responde por 68% dos incidentes

externos em sistemas de controle, seguidos por

incidentes de sabotagem e penetração em

sistemas, com 13%, e ataques de negação de

serviço, com 6%

.Fonte: RISI

Vulnerabilidades mais exploradas por

atacantes de redes industriais

ICS-CERT Sumário dos ataques por indústria

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Desafio – Redes conectadas não mais isoladas

Necessidade de maior segmentação e controle de acesso

Acesso externo granular e segmentação interna

Necessário enforcement do “role-based access control” e conceito “zero-trust

Prevenção de incidentes cibernéticos.

Industrial

Control

System

Business

Network

Partners

Other

Plants/Facilities

3rd Party

Support

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

O cenário é ruim, mas dá pra piorar??

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Infelizmente SIM.....

Referência: Symantec

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Os atacantes descobriram

como ganhar MUITO

dinheiro com ataques a

infraestruturas críticas!

2016 – O Ano do

Ransomware SCADA

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Ransomware – A próxima ameaça às ICs

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Hospital infectado por Ransomware

• Nesse caso, o departamento

tinha backups de seus

sistemas e se recusaram a

pagar o resgate aos

criminosos.

• Por volta de 05 de fevereiro de 2016 , os sistemas pertencente ao

Hospital Central Presbiteriano de Hollywood foram infectados com o

Locky ransomware.

• Depois de dez dias, o governo pagou aos atacantes 40 Bitcoins ($

17.000) para libertar os sistemas.

• Naquela mesma semana, cinco computadores pertencentes ao

Departamento Regional de saúde de Los Angeles foram infectados

com uma variante ransomware.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

O que é Ransomware?

• Ransom = Resgate

• Ransomware é um tipo de

Malware que impede o

acesso do usuário aos seus

dados.

• O usuário só recuperará o

acesso aos dados mediante

o pagamento de um resgate

(Ransom)

• Afetam diretamente a

disponibilidade de sistemas

ao bloquear o acesso a

informações vitais para seu

funcionamento.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Video – Ataque por Ransomware no Brasil

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

A Evolução do Ransomware

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Tipos de Ransomware

• Ransomware de Bloqueio

Transmitido através de Engenharia Social e campanhas de phising,

principalmente.

Restringe o acesso do usuário aos sistemas infectados.

Certas vezes, o Ransomware de bloqueio pode ser removido facilmente,

restaurando o sistema para um ponto de restauração pré-definido ou

implementando uma ferramenta de remoção comercial.

2016 promete ser o ano em que o Ransomware de bloqueio

ressurgirá, porque ele pode infectar tecnologias emergentes, como

telefones celulares, sistemas de controle (SCADA) e sistemas

conectados à "internet das coisas“.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Smartphone com Ransomware de bloqueio

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Tipos de Ransomware • Ransomware de Criptografia

Mais robusto, o Ransomware de Criptografia restringe a ação do usuário,

negando o acesso à interface do usuário

Segmenta os dados e sistemas de arquivos do dispositivo.

Permite que os usuários acessem a internet para comprar moedas

criptografadas no mercado virtual (algumas variantes de Ransomware de

Criptografia fornecem aos usuários um site para comprar Bitcoins e artigos

explicando a moeda).

Determinam uma chave assimétrica única para cada sistema infectado e

limpam a chave de sessão da memória quando tiverem terminado a infecção.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Exemplos de Ransomware de Criptografia

• Locky:

Em 5 de Fevereiro, 2016, sistemas médicos pertencentes a Hollywood

Presbyterian Medical Center foram infectados com o ransomware Locky. Dados de

saúde permaneceram inalterados, mas,computadores essenciais para o trabalho de

laboratório, tomografia computadorizada, sistemas de sala de emergência, e

farmácia foram infectados.

Os cibercriminosos exigiram um resgate de 9000 Bitcoins ($ 3,6 milhões).

Porém, depois de quase duas semanas negociando, o presidente do Centro

Médico pagou um resgate de 40 Bitcoins ($ 17.000) para desbloquear suas

máquinas.

• A Forbes afirma que o Locky ransomware infecta aproximadamente 90.000

sistemas por dia e que normalmente pede aos usuários de 0,5-1 Bitcoin (~ $ 420)

para desbloquear seus sistemas.

• O Locky criptografa arquivos com chaves RSA-2048 e AES 128 cifras.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Tela de bloqueio - Locky

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Exemplos de Ransomware de Criptografia

• CryptoLocker:

Cryptolocker é um trojan que começou infectando sistemas Windows

através da botnet Gameover Zeus, criptografando os dados do host com

chave publica de criptografia RSA .

Cryptolocker instala no perfil do usuário uma pasta e adiciona uma chave

no registro do sistema para que seja executada na inicialização.

Em seguida, ele se conecta a um dos seus servidores C2 e gera um par de

chaves RSA de 2048 bits , armazenando a chave privada nesse servidor.

Daí, ele envia a chave pública de volta para a máquina da vítima .

O trojan criptografa documentos, imagens e arquivos nos discos rígidos

locais e unidades de rede mapeadas com a chave pública.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Tela de bloqueio - CryptoLocker

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Exemplos de Ransomware de Criptografia

• CryptoWall / CryptoDefense/ CryptoBit:

Esse Ransomware é responsavel por excluir cópias de sombra de arquivos

para, em seguida ganhar privilégios de usuário para tentar se conectar aos

proxies I2P a fim de encontrar um servidor de comando e controle ao vivo

usando um valor de hash que é criado, tomando um numero que é

aleatoriamente gerado seguido por um valor de identificação único.

O servidor responde com uma chave pública única e fornece notas de resgate.

Depois disso, a historia se repete ...

As notas são colocadas em todos os diretórios onde os arquivos vítima são

criptografadas e, em seguida, o Internet Explorer é iniciado com uma página do

visor bilhete de resgate.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Tela de bloqueio - CryptoWall

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Vetores de infecção

• Sistema de Distribuição de Trafego (TDS): redirecionam o tráfego da web

para um site de hospedagem infectado. Normalmente sites de conteúdo adulto,

serviços de streaming de vídeo ou sites de pirataria de mídia. Infecta a máquina

através do download do malware.

• Malverstiment: anúncio malicioso que pode redirecionar os usuários de um

site infectado. Pode parecer legítimo e até mesmo confiável.

• E-mails de Phishing: usam da ingenuidade de usuários, que são

culturalmente treinados para abrir e-mails e clicar em anexos e links.

• Downloaders: Malwares são entregues em sistemas através de estágios de

downloaders, para minimizar a probabilidade de detecção baseada em

assinaturas. Nesse contexto, criminosos pagam outros criminoso que já tem uma

máquina infectada com seus dados extraviados, ou com infecção previamente

acidental. Ele utiliza um malware na rede infectada e repassa o controle deste

ao downloader.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Vetores de infecção (cont.)

• AutoPropagação: Ocorre quando aplicações são baixadas a partir de uma loja

de aplicativos ou se espalham através de disparos de SMS em uma lista de

contatos a partir de uma vitima inicial.

• Ransomware as a Service (RaaS): esta é a forma de ransomware como um

serviço, por meio do qual script kiddies (criminosos amadores) podem usar o

ransomware desenvolvido por criminosos experientes para explorar as vítimas em

troca do pagamento de uma comissão (5-20% do valor do resgate).

• Engenharia Social e Sabotagem: malware é disseminado de forma intencional

por funcionários e colaboradores da empresa que tenham sido préviamente

subornados.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Vítimas do Ransomware

• Usuários comuns: usuários que são facilmente pressionados ou que não são

fluentes em soluções técnicas para Ransomware são os alvos mais viáveis.A

maioria dos usuários não faz consistentemente o backup de seus dados e nem

seguem procedimentos básicos de segurança cibernética para mitigar o impacto

de um ataque por Ransomware.

• Empresas: empresas são os principais alvos de Ransomware , porque os seus

sistemas são os mais propensos a abrigar bases de dados confidenciais valiosos,

documentos importantes e outras informações. Além disso, elas são as mais

prováveis para pagar o resgate, a fim de retomar rapidamente as operações .

• Polícia: Serviços de polícia e federais são muitas vezes alvo de ataques de

malware em resposta a seus esforços para investigar e prender criminosos

cibernéticos.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Vítimas do Ransomware (cont.)

• Hospitais e Serviços de emergência: nestes alvos a perda do sistema pode

custar vidas, e são um dos preferidos para atacantes via ransomware.

• Instituições de Ensino: faculdades e universidades são alvos interessantes pois

possuem fundos suficientes para pagar um resgate considerável.

• Instituições Financeiras: as instituições financeiras são o grande setor alvo de

ransomware, e já existem inúmeros casos de ataques documentados no mundo.

Infraestruturas críticas: a indisponibilidade de sistemas SCADA em

infraestruturas críticas pode levar a perdas inestimáveis, financeiras, humanas

e ambientais. Desta forma resgates na ordem de milhões de dólares são

cobrados de empresas que tem sua produção ou abastecimento paralisados.

Além disso as redes de automação não possuem a segurança mínima

necessária para se contrapor a este tipo de ataque, além de não ter equipes

adequadamente treinadas.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Sistemas Alvo

• Dispositivos Móveis: hoje quase toda a população mundial tem ao menos um tipo

de dispositivo móvel, vulneravel à ataques ransomware.

• Servidores: nele estão armazenados documentos de uma organização, bases de

dados, propriedade intelectual, arquivos pessoais, listas de clientes, planejamentos

de produção, dados de billing e outros recursos intangíveis. Apesar do valor destes

dados, as organizações falham regularmente para assegurar, atualizar e corrigir os

sistemas. Mesmo que a organização tenha um plano de recuperação de desastres,

a quantidade de tempo necessária para reverter para um sistema crítico pode ser

inaceitável.

• Dispositivos IoT: na internet das coisas, o cibercriminoso ransomware tem maior

poder sobre vítimas. Imagine um ransomware infectando um sistema de

temperatura digital de uma casa. Ou algo ainda mais impactante; um sistema de

controle central de um avião?

Sistema SCADA: sistemas de controle de infraestruturas críticas podem ser

facilmente paralisados no caso de um ataque por Ransomware em um vetor de

infecção de Worm com espalhamento automático.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

A Economia do Ransomware

• Para que criminosos ransomware lucrem, eles devem confiar em explorar a

natureza humana, e não a sofisticação técnica. Os seres humanos tendem a pagar

pelo resgate para que seus sistemas voltem a operar o mais breve possível.

• O custo para os usuários depende diretamente do prejuízo que as empresas tem

com a indisponibilidade de seus sistemas. Quanto mais caro o prejuízo, mais alto o

valor do resgate.

• Os usuários individuais têm uma baixa capacidade de pagar, enquanto empresas

e infraestruturas críticas, por serem de maior porte, podem pagar resgates de

maior valor.

• Os atacantes são pagos geralmente em moedas da Deep Web, como o Bitcoin

ou o Darkcoin, que são moedas moedas criptografadas (Cryptocurrencies) e com

difícil rastreamento, mantendo o anonimato do atacante.

• Cryptocurrencies são tipicamente adquiridas através da Dark Web acessada

através do browser Tor.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

O que fazer para evitar o Ransomware

• Ter um time de Segurança da Informação preparado: é responsabilidade da

equipe de segurança da informação garantir que todos os sistemas foram

atualizados e possuem soluções anti-malware instaladas.

• Treinamento e sensibilização: o pessoal da empresa precisa ser treinado para

reconhecer e evitar os vetores de ataque por Ransomware. Os seres humanos

são o elo mais fraco. Os funcionários devem ser treinados para reconhecer um

link ou anexo maliciosos.

• Políticas e Procedimentos: os usuários devem saber quais atividades são

permitidas na rede. Eles devem saber como reconhecer atividades suspeitas e

para quem elas devem ser relatadas.

Ter implementada uma estratégia de defesa em camadas: o modelo de

defesa de rede em camadas tem o objetivo de retardar o adversário e detectar

a sua presença em tempo para reagir à intrusão.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Implementar Defesa em Camadas

• Para a implementação do modelo de defesa em camadas são necessários

mecanismos de proteção e sistemas de detecção próprios para redes

industriais, além de um sistema de inteligência de segurança que seja capaz

de alertar e bloquear as ameaças em tempo real.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Metodologia ICS.SecurityFramework

DETECÇÃO, DEFESA E CONTROLE INTEGRADO DE AMEAÇAS

PARA SISTEMAS DE INFRAESTRUTURAS CRÍTICAS

ANSI/ISA.99

• Metodologia desenvolvida pela TI Safe para

organizar, executar e operar a segurança da

informação em sistemas industriais e

infraestruturas críticas:

• Implementa as boas práticas descritas no

CSMS (Cyber Security Management System) da

norma ANSI/ISA-99

• Acelera o processo de conformidade da

segurança cibernética e atende às

necessidades de T.I. e T.A. em um framework

único.

• Gerenciamento centralizado do

monitoramento, defesa e controle de ameaças.

•Garante a atualização das bases de

dados de assinaturas e vulnerabilidades

para todos os componentes de

segurança.

•Facilita a identificação de ameaças e

isolamento de incidentes.

•Produz trilha confiável para

rastreabilidade dos eventos.

•Fornece detalhados relatórios de

auditoria.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Módulos do ICS.SecurityFramework

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

E se o pior acontecer?

Quando a mitigação falhar, é importante para organizações e indivíduos

considerarem todas as possíveis respostas a um ataque Ransomware. São elas:

• Acionar o Time de Resposta a Incidentes: A equipe de segurança da informação

deve ter previamente planejado um procedimento a seguir em caso de um ataque

ransomware, durante sua avaliação de riscos. A equipe de resposta a incidentes deve

começar por notificar as autoridades e órgãos reguladores pois ataques Ransomware

são crimes prescritos em lei.

• Tentar recuperar os dados perdidos: Backup e recuperação do sistema são a

única solução para reverter ataques por ransomware. Ter backups atualizados é vital

em casos de perdas de dados críticos. Neste caso, bastará realizar um recover dos

sistemas e dados para voltar à atividade normal da empresa.

• Fazer nada: em casos onde o resgate supera o custo do sistema, a vítima pode

comprar um novo dispositivo e dispor do sistema infectado.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

E se o pior acontecer? (cont.)

• Pagar o Resgate: alguns atacantes podem liberar o sistema após receber o

pagamento, porque fazer o contrário iria reduzir a probabilidade de que novas vítimas

venham a cair no golpe. Porém, infelizmente, não existe nenhuma garantia que os

atacantes ficariam com os dados após o resgate pago.

• Uma Solução Hibrida: inclui esforços simultâneos para pagar o resgate e tentar

restaurar os sistemas a partir de um backups confiáveis. Organizações optam por

esta estratégia quando o tempo de inatividade do sistema é ainda mais crítico que as

consequências do pagamento do resgate.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Um detalhe importante....

• Ransomwares modernos são capazes de procurar servidores e

aplicações de backup em execução na rede e criptografá-los

também...

• Nestes casos, a única solução possível será pagar o resgate.

• Pagar resgates pode ser fácil para instituições privadas, mas

empresas públicas não tem verba alocada para isto... Teriam que

licitar..

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Conclusão

• O aumento da atividade hacker no Brasil e a evolução dos ataques

direcionados a redes de automação aumentou vertiginosamente no

ano de 2015.

• Somente durante este ano foi notada uma quantidade de incidentes

de segurança maior que a dos anos de 2008 a 2014 somados, o que

representa um crescimento alarmante.

• As infraestruturas críticas brasileiras devem despertar urgentemente

para este cenário e implementar controles de segurança que vão de

encontro ao cenário de ameaças que acabo de apresentar.

• Não há mais tempo a perder...é preciso implementar políticas e

soluções tecnológicas para defesa em camadas já!

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Marcelo Branquinho

[email protected]