ransomware - conceitos e prevenção
TRANSCRIPT
RansomwareConceitos e formas de prevenção
Maurício HarleyJunho de 2017
Veremos isto
• Quem é você
• Estatísticas
• Conceitos
• O que fazer pra não ser vítima
• Se for vítima, como proceder
2
Quem é o autor?
Quem é o autor?
• Maurício Harley
• CCIE Duplo (em Routing & Switching e em Service Provider);
• CISSP;
• MCSE Private Cloud (Microsoft);
• VCIX-NV (VMware NSX);
• Arquiteto Sênior na HX Brasil;
• Colaborador da revista PenTest Magazine;
• Perito Forense Computacional;
• Analista de Malware;
• Estudante de contrabaixo;
• Jogador de vídeo-game.
4
Estatísticas
Alguns Dados
6
Continuando com os dados
7
Fonte: Proof
Principais vítimas e vetores de ataques
8
O ”bom” e ”velho” WannaCry
9
Infográfico do NYTimes (WannaCry)
10
Dados sobre o WannaCry
11
Últimos Dados
12
Total: > US$ 110.000,00(em 23/05/2017)
O flagelo parou no WannaCry?
13
De volta ao WannaCry…
• A resposta simples à pergunta anterior é: não!
• Pelo menos duas crias (há controvérsias quanto a isso) apareceram depois do WannaCry:
• UIWIX;
• Adylkuzz.
• O primeiro pede resgate aproximado de US$ 200,00 em bitcoins;
• O segundo transforma o computador num minerador de Monero (outracriptomoeda) e parte de uma botnet.
14
Será possível?
15
Vítima: Meu salário é de apenas US$ 400,00.Você quer me cobrar mesmo assim? :-(
Criminoso: Não. Na verdade, nossa campanhana Tailândia foi um fracasso total. Nóssuperestimamos os salários das pessoas do seupaís.
Entããão, ok. Você não precisa pagar desta vez.Alteramos o ThunderCrypt para o modo dedescriptografia no seu computador. Assim, tãologo nosso servidor se comunique com suamáquina, a descriptografia terá início. Se issonão acontecer, avise-nos.
P.S.: Mas se na verdade, você tiver gostado dealgo no ThunderCrypt e quiser nos doar algumasxícaras de café, sinta-se sempre à vontade parafazer isso.
=
Alguns Conceitos
Uma Analogia
Uma comparação do ataque com uma ação no mundo real.
17
Anatomia do ataque
• Como funciona no mundo virtual.
18
19
O pagamento (Bitcoin)
• Criptomoeda disponibilizada como software de código livre em 2009;
• O criador é desconhecido e usa um pseudônimo de Satoshi Nakamoto;
• A ideia original era permitir o envio/recebimento de dinheiro, evitando taxas ouimpostos cobrados por bancos de países;
• Usa arquitetura descentralizada (lembra o BitTorrent?), gravando todas as transações num livro-razão chamado Blockchain;
• É possível realizar trocas entre bitcoins e moedas reais. Pode-se também ganharbitcoins através de uma operação de mineração;
• Praticamente impossível de rastrear, o que a torna extremamente atrativa para uso no mercado negro (deep web);
• Novas variantes vêm surgindo e mais avançadas: Monero e Zcash.
20
Escapando de RansomwareEm 10 Passos
O que fazer para não virar vítima (1)
Backup, backup, backup!
22
O que fazer para não virar vítima (2)
Realizar inventário dos ativos. 23
O que fazer para não virar vítima (3)
Criar cultura de gerenciamento de patches. 24
O que fazer para não virar vítima (4)
Transportar o backup de maneira segura para um local seguro. 25
O que fazer para não virar vítima (5)
Segmentar a rede. 26
O que fazer para não virar vítima (6)
Realizar conscientização de colaboradores quanto à segurança da informação. 27
O que fazer para não virar vítima (7)
Criar estratégia efetiva de comunicação para informar sobre malware. 28
O que fazer para não virar vítima (8)
Antes de ser atacado, decidir se pagará o resgate ou iniciará investigação. 29
X
O que fazer para não virar vítima (9)
Coordenar com seu fornecedor de segurança cibernética a análise de ameaçassobre dispositivos ou aplicações.
30
O que fazer para não virar vítima (10)
Executar testes frequentes de penetração nos sistemas. 31
Fui atacado. E agora?
32
Tenha calma!
• Bloqueie a comunicação entre os segmentos da rede. Se sua rede não for segmentada, complicou;
• Se você tem backup atualizado, antes de mais nada, relaxe. Reinstale o sistema, atualize-o, restaure o backup e seja feliz;
• O projeto No More Ransom divulga ferramentas gratuitas para desfazer o estrago de alguns ransomwares: https://nomoreransom.org/;
• Veja com seu fornecedor de segurança cibernética a existência de umaferramenta própria dele para descriptografia;
• Inicie a investigação da infecção. Se quiser, você pode convocar um peritocomputacional forense para isso. Neste caso, não desligue o computador e nemfaça mais nenhuma atividade nele. Simplesmente preserve a evidência.
33
Muito Obrigado! :-)