201705 v1 hack_paraloschicos_ransom [autoguardado]

1HackParaLosChicos
05 de mayo de 2017 – Santa Fé - Argentina
Jornada de Seguridad de la Información con Fines Solidarios
¿Me han secuestrado
los datos?
Ransomware

#1HackParaLosChicos | Edición N° 5 2
Disertante
Enrique G. Dutra
Punto Net Soluciones SRL
edutra@puntonetsoluciones.com.ar
http://seguridadit.blogspot.com.ar/
@egdutra @puntonetsol
Consultor / Auditor y Perito Informático con más de 30 años
de experiencia en Seguridad. Socio Gerente de Punto Net
Soluciones SRL por más de 15 años, ha sido premiado como
MVP Enterprise Security desde el 2005. Es Auditor Líder ISO
27001:2005 y posee certificaciones de seguridad en
Microsoft, IBM, Checkpoint e Intel Mcafee.

Agenda
ü ¿Qué es un Ransomware?.Conceptos
ü ¿Por qué se debe pagar con Bitcoins?
ü Casos conocidos y Tipos de ataques.
ü Vector de ataque.
ü ¿Cómo protegerse de los Ransomware?.
ü Preguntas.

¿Qué es un Ransomware?
Definiciones

Ransomware
Vida real:
“…apropiación de objetos de valor/personas que se
devolverán a cambio de un rescate, una táctica antes
reservada a los ladrones y secuestradores del mundo
real….”
Vida digital:
“… Los ciberdelincuentes emplean un tipo
de malware denominado "ransomware", que puede
infectar un ordenador o un dispositivo móvil y restringir el
acceso a los archivos y programas que contiene, a menos
que el usuario acceda a pagar un rescate para
recuperarlo…
Fuente: Intel Mcafee

Ransomware
RANSOM WARE
Rescate softWARE
MAL WARE
MALicius softWARE

Ransomware
RECUPERACION
SE PAGA CON

Bitcoins
ü Bitcoins es una moneda virtual e intangible.
ü El software emplea la criptografía.
ü Sólo puedan ser gastados por su dueño, y nunca más de
una vez por el mismo.
ü Por la combinaciones de semillas (hash) solo habrá
21.000.000 de bitcoins y se espera que estén generados
todos para el 2033.
ü Suben de precio, por que a medida que se generan,
cuesta más que se generen nuevos. Llegará un momento
que se estabilizarán por que o habrá mas que crear.
ü Sistema basado en la confianza.

Bitcoins
ü Billetera: persona que adquiere el software
para hacer transacciones con Bitcoins.
ü Identificación: se identifica con una cadena de
33 dígitos, como
1rYK1YzEGa59pI314159KUF2Za4jAYYTd.
ü Certificados: Cada usuario tiene una llave
publica y privada (certificado digital).
ü Transferencia via P2P: vía transferencia
mediante aplicaciones cliente/servidor se
transfiere los certificados que respaldan los
bitcoins.
ü Comercios: DELL, Wikipedia, WordPress y
comercios en Europa.

Bitcoins
Valores
• 1 BTC = U$S 1530
• https://localbitcoins.com/
• https://blockchain.info/es
• http://www.bitcoinargentina.org/
• Un pedido de recuperación ronda entre
los 2 y 5 bitcoins. Depende del
Ransomware. (pueden llegar hasta 25btc)

Variantes del mismo
problema

Vector Infección
Phishing : es una técnica de ingeniería social para
obtener información confidencial como nombres de
usuario, contraseñas y detalles de tarjetas de crédito.

Ingeniería Social
Engaño
Según la Real Academia Española como “….Acción o
conjunto de palabras o acciones con que se engaña a
alguien o se le hace creer algo que no es verdad…”.
Ingeniería Social
Arte de manipular personas para eludir los sistemas
de seguridad. Esta técnica consiste en obtener
información de los usuarios por teléfono, correo
electrónico, correo tradicional o contacto directo.

Phishing
Técnica utilizada por los delincuentes para obtener
información confidencial como nombres de usuario,
contraseñas y detalles de tarjetas de crédito
haciéndose pasar por una comunicación confiable y
legítima.
phishing proviene de la palabra inglesa "fishing"
(pesca), haciendo alusión al intento de hacer que los
usuarios "muerdan el anzuelo"

Problemática

Nuevas estrategiasLog Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 4/28/2017 5:45:17 AM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: SERVER1.cust.arvixevps.com
Description: An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Account Name: administrator
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC000006A
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: FreeRDP
Source Network Address: -
Source Port: -
Log Name: Security
Date: 4/28/2017 5:46:17 AM
Event ID: 4625
Level: Information
User: N/A
Subject:
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account Name: backup
Account Domain:
Status: 0xC000006D
Source Port: -
Log Name: Security
Date: 4/28/2017 5:47:17 AM
Event ID: 4625
Level: Information
User: N/A
Subject:
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account Name: administrador
Account Domain:
Status: 0xC000006D
Source Port: -
Log Name: Security
Date: 4/28/2017 5:48:17 AM
Event ID: 4625
Level: Information
User: N/A
Subject:
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account Name: admin
Account Domain:
Status: 0xC000006D
Source Port: -

Nuevas estrategias
ü Vulnerar protocolo RDP publicado a Internet.
ü Inyectar aplicación para escalar privilegos
ü Vulnerar servidor logueandose con permisos de
administrador local o de dominio.
ü Inyectar el Ransomware y esperar pedido de rescate.

Miedos…

Primeros Ransomware
ü Primer ransomware creado 1989, conocido como AIDS o
PC Cyborg, Joseph Popp pedía pago por archivos cifrados.
Reclamaban U$S 189 y se cancelaba mediante medio de
pago.
ü En mayo 2012, Trend Micro descubrió las variaciones de
un malware llamado Reventon para los Estados Unidos y
Canadá que pedía un pago a medios de pagos.
ü En agosto 2012, se comenzó a utilizar el logo del FBI para
reclamar una fianza de 200 dólares a pagar mediante una
tarjeta de MoneyPak a los propietarios de computadores
infectados.
Problema: manera de cobrar por parte del
delincuente una vez que le eran depositados los
U$S. A parte se los podía rastrear una vez
denunciados.

Primeros Ransomware
1. Victima compra tarjeta prepago
MonkeyPak el monto que se desea.
2. Víctima obtiene un código.
3. Código se carga en Paypal , pide:
ü Nombre,
ü Seguro social y
ü Dirección de correo.
4. Víctima denuncia extorsión. Captura
al atacante.

Versiones de Ransomware
ü Reventon: reapareció en 2012. Requería U$S 200 para obtener
la contraseña de recuperación.
ü CryptoLocker: aparece en septiembre del 2013. 3 días para
hacer el pago o se elimina la clave privada que se utilizó para
cifrar archivos o aumentaría de a 10 BTC a medida que pasa el
tiempo.
ü CryptoLocker.F and TorrentLocker: aparece en Australia
septiembre del 2014. Se propagaba por correo electrónico,
enviaba un e-mail de entrega fallida y pedía al usuario que
ingresara a un sitio web, con previa validación de un CAPTCHA
bajaba el malware y el usuario nunca veía el correo fallado.
ü CryptoWall: surge a principios de 2014 bajo el nombre de
CryptoDefense, afecta a S.O Microsoft. Se propaga a través del
correo electrónico con suplantación de identidad. Ya está por la
versión 4.0 y el FBI estima pérdidas de al menos U$S 18
millones.

ü Petya: Tiene como objetivo el departamento de RRHH de
las empresas. Los empleados reciben correos con
solicitudes de empleo, las cuales incluyen un enlace a
Dropbox con el archivo application_portfolio-
packed.exe que al ejecutar reinicia la computadora tras
un supuesto BSOD y consecuente proceso de reparación.
Cifra TODO EL DISCO.

ü KeRanger: El 4 de marzo, se detectó la versión de
Ransomware para Mac OS X. Exige a las víctimas un pago
en bitcoin (aproximadamente US$400) a una dirección
específica para recuperar sus archivos. Cifra archivos de
backup realizados por TimeMachine. Medio de
transmisión: BitTorrent.

ü Variantes de Locky: mediados de Julio/16, hay campañas
de spam con asunto llamativo, y archivos maliciosos con
formato ZIP.
ü Hay casos con archivos adjuntos con formato de Office
con macros activas.

ü Dharma / Crysis : Este ransomware se utiliza en la
mayoría de las infecciones ocurridas en las
vulnerabilidades halladas a los protocolos RDP. Apareció
por primera vez en Nov/2016 y ya tiene 3 nuevas
versiones.
ü Archivos cifrados con extensiones
.dharma,.wallet y.zzzzz entre otros.

ü Cerber: Desde que surgió en el submundo ruso en
marzo de 2016, Cerber ya ha dado lugar a varias
versiones cuya estructura, técnicas y capacidades se han
actualizado regularmente por sus desarrolladores a
veces un día de diferencia, en el caso de Cerber 4.1.5.
ü Se ha vuelto tan exitoso que la familia ransomware ha
eclipsado otras familias como Locky (RANSOM_LOCKY).

Ver Excel con Versiones
http://seguridadit.blogspot.com.ar/2016/08/ransomware-parte-iii.html

Archivos que cifran
ü Microsoft Ofiice (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .rtf)
ü Open Office (.odt, .ods, .odp)
ü Adobe PDF
ü Imágenes (.JPG, .PNG, raw camera, etc.)
ü Texto(.txt, .RTF, etc.)
ü Database (.sql, .dba, .mdb, .odb,. db3, .sqlite3, etc.)
ü Compressed le (.zip, .rar, .7z, etc.)
ü Mail (.pst)
ü Key(.pem, .crt, etc.)
ü Todo el disco….
ü Todo el server...
ü Todo el celular....

Ransomware

Impacto
ü Pérdida de información
ü No se sabe que afectó.
ü Repercusión en los Procesos de Negocios.
ü Aparición/actualización de regulaciones ( Ej: EEUU La Ley de
Transferencia y Responsabilidad de Seguro Médico (Health
Insurance Portability and Accountability Act, HIPAA)).
ü Empresas empiezan a analizar el valor de la información.
ü Se detecta problemas de seguridad cuando ha sido tarde. Falta
de prevención.
ü Definición de procesos de mejoras (tecnológicas,
procedimientos y educación a usuarios).

Reflexionar…

¿Cómo protegerse?

¿Cómo protegerse?
✅ Copia de seguridad de los archivos. (Cloud?)
✅ Use el equipo con los menos privilegios posibles.
✅ Un antimalware actualizado en los equipos.
✅ Mantener los productos de softwares actualizados.
✅ Desconfiar de correos con adjuntos o links no reconocidos. No hacer clic
en los enlaces incluidos en correos electrónicos no solicitados (SPAM)
✅ Verifique que el remitente que le envía archivos adjuntos en correos
electrónicos sea de confianza.
✅ No usar medios de descarga de música o software de origen poco
confiables.
✅ No usar macros en archivos de MS Office si van a ser usados por terceros.
✅ No mapear unidades de red.
✅ Mantener activa las protecciones de los Sistemas Operativos (UAC, Seg. y
privacidad MAC, otros….)
✅ Utilizar Intranet para almacenar archivos.
✅ NO publicar servicios que pidan user/pass sin proteccion
✅ NO pagar rescate.

Espacios en Cloud
Microsoft - One Drive
• Hasta 5 Gb es Free
• Hasta 50 Gb, $ 20 x mes.
Dropbox corporativo
• 5 usuarios x U$S 12,50 x mes ilimitado
Apple – Icloud
• Hasta 50 Gb, U$S 0,99 x mes
Google Drive
• Hasta 100 Gb, U$S 1,99 x mes
El perro y el backup son los mejores amigos del hombre

NECESITAS AYUDA: desbloqueo de su vida
digital sin tener que pagar sus atacantes?
https://www.nomoreransom.org/

Preguntas?
@egdutra
edutra@puntonetsoluciones.com.ar

Artículos que dan soporte a esta conferencia en:
ü http://seguridadit.blogspot.com.ar/
ü https://www.nomoreransom.org/
ü http://computerhoy.com/tags/ransomware

Muchas Gracias!!#1hackparaloschicos

201705 v1 hack_paraloschicos_ransom [autoguardado]

Recomendados

Recomendados

Más contenido relacionado

Similar a 201705 v1 hack_paraloschicos_ransom [autoguardado]

Similar a 201705 v1 hack_paraloschicos_ransom [autoguardado] (20)

Más de Enrique Gustavo Dutra

Más de Enrique Gustavo Dutra (11)

Último

Último (20)

201705 v1 hack_paraloschicos_ransom [autoguardado]