Como proteger la empresa de Ransomware

Punto Net Soluciones SRL ©
El secuestro virtual. ¿Cómo me protejo?
Enrique G. Dutra
Punto Net Soluciones SRL
MVP Cloud and Datacenter Management 2016
Auditor Lider ISO/IEC 27001:2005
edutra@puntonetsoluciones.com.ar
http://seguridadit.blogspot.com/
Tw: @egdutra
@puntonetsol
PuntoNetSolucionesSRL

Agenda
ü Conceptos.
ü Vector de ataque.
ü Problemática.
ü ¿Por qué pagar con Bitcoins?.
ü Casos conocidos y Tipos de ataques.
ü ¿Cómo protegerse de los Ransomware?.
ü Preguntas.

¿Qué es un Ransomware?
Definiciones

Secuestro
Vida real:
“…apropiación de objetos de valor/personas que se devolverán a cambio de un
rescate, una táctica antes reservada a los ladrones y secuestradores del mundo
real….”
Vida digital:
“… Los ciberdelincuentes emplean un tipo de malware denominado
"ransomware", que puede infectar un ordenador o un dispositivo móvil y
restringir el acceso a los archivos y programas que contiene, a menos que el
usuario acceda a pagar un rescate para recuperarlo…”
Fuente: Intel Mcafee

Ransomware
TERMINOS
RANSOM WARE
rescate softWARE
MAL WARE
MALicius softWARE

Vector Infección
Phishing : es una técnica de ingeniería social para obtener
información confidencial como nombres de usuario, contraseñas y
detalles de tarjetas de crédito haciéndose pasar por una
comunicación confiable y legítima.

Ingeniería Social
Engaño
Según la Real Academia Española como “….Acción o
conjunto de palabras o acciones con que se engaña a
alguien o se le hace creer algo que no es verdad…”.
Ingeniería Social
Arte de manipular personas para eludir los sistemas
de seguridad. Esta técnica consiste en obtener
información de los usuarios por teléfono, correo
electrónico, correo tradicional o contacto directo.

Phishing
Técnica utilizada por los delincuentes para obtener
información confidencial como nombres de usuario,
contraseñas y detalles de tarjetas de crédito
haciéndose pasar por una comunicación confiable y
legítima.
phishing proviene de la palabra inglesa "fishing"
(pesca), haciendo alusión al intento de hacer que los
usuarios "muerdan el anzuelo"

Problemática

¿Cómo pago el secuestro?
RECUPERACION
SE PAGA CON

Bitcoins
üBitcoins es una moneda virtual e intangible. Concebida en
el 2009 por quien sería Satoshi Nakamoto.
üPeer-to-Peer Electronic Cash System. (se requiere
aplicaciones)
ü Sólo puedan ser gastados por su dueño, y nunca más de
una vez por el mismo.
üPor la combinaciones de semillas (hash) solo habrá
21.000.000 de bitcoins y se espera que estén generados
todos para el 2033.
üSistema basado en la confianza.

Bitcoins
üBilletera: persona que adquiere el software
para hacer transacciones con Bitcoins.
üIdentificación: se identifica con una cadena
de 33 dígitos, como
1rYK1YzEGa59pI314159KUF2Za4jAYYTd.
üCertificados: Cada usuario tiene una llave
publica y privada (certificado digital).
üTransferencia via P2P: vía transferencia
mediante aplicaciones cliente/servidor se
transfiere los certificados que respaldan los
bitcoins.
üComercios: DELL, Wikipedia, WordPress y
comercios en Europa.

Bitcoins
Carácterísticas:
• Está descentralizada: no es controlada por ningún Estado, banco, institución financiera o
empresa.
• Es imposible su falsificación o duplicación gracias a un sofisticado sistema criptográfico que
protege a los usuarios, al tiempo que simplifica las transacciones.
• No hay intermediarios: Las transacciones se hacen directamente de persona a persona.
• Las transacciones son irreversibles: se trata de una de las características más destacadas del
Bitcoin. Una vez realizado un pago, no se puede anular.
• Puedes cambiar bitcoins a euros u otras divisas y viceversa, como cualquier otra moneda.
• No es necesario revelar tu identidad al hacer negocios y preserva tu privacidad.
• El dinero te pertenece al 100%; no puede ser intervenido por nadie ni
las cuentas pueden ser congeladas.
Preguntas Frecuentes: https://bitcoin.org/es/faq#que-es-bitcoin

Bitcoins
Valores
•1 BTC = U$S 596
• https://localbitcoins.com/
• https://blockchain.info
• Un pedido de recuperación ronda los 2 y 10
Btc. (hay pedidos hasta 20 Btc).

Variantes del mismo problema

Primeros Ransomware
ü Primer ransom creado 1989, conocido como AIDS o PC Cyborg, Joseph Popp
pedía pago por archivos cifrados. Reclamaban U$S 189 y se cancelaba mediante
medio de pago.
üEn mayo 2012, se descubrió las variaciones de un malware llamado Reventon
para los Estados Unidos y Canadá que pedía un pago a medios de pagos.
üEn agosto 2012, se comenzó a utilizar el logo del FBI para reclamar una fianza
de 200 dólares a pagar mediante una tarjeta de MoneyPak a los propietarios de
computadores infectados.
Problema: era como se cobraban los $$$$ resultados de la extorsion, una vez que le eran
depositados. A parte se los podía rastrear una vez denunciados.

Primeros Ransomware
1. Victima compra tarjeta prepago Monkey Pack el monto que se
desea.
2. Víctima obtiene un código.
3. Código se carga en Paypal , pide:
üNombre,
üSeguro social y
üDirección de correo.
4. Víctima denuncia extorsion. Captura al atacante.

Variantes
Ver Excel con Versiones
http://seguridadit.blogspot.com.ar/2016/08/ransomware-parte-iii.html

Ransomware
ü Reventon: reapareció en 2012. Requería U$S 200 para obtener la contraseña
de recuperación.
üCryptoLocker: aparece en septiembre del 2013. 3 días para hacer el pago o se
elimina la clave privada que se utilizó para cifrar archivos o aumentaría de a 10
BTC a medida que pasa el tiempo. Distribuye por correo electrónico.
üCryptoLocker.F and TorrentLocker: aparece en Australia septiembre del 2014.
Se propagaba por correo electrónico, enviaba un e-mail de entrega fallida y
pedía al usuario que ingresara a un sitio web, con previa validación de un
CAPTCHA bajaba el malware y el usuario nunca veía el correo fallado.
üCryptoWall: surge a principios de 2014 bajo el nombre de CryptoDefense,
afecta a S.O Microsoft. Se propaga a través del correo electrónico
con suplantación de identidad. Ya está por la versión 4.0 y el FBI estima pérdidas
de al menos U$S 18 millones.

Ransomware
ü Petya: Tiene como objetivo el departamento de RRHH de las empresas. Los
empleados reciben correos con solicitudes de empleo, las cuales incluyen un
enlace a Dropbox con el archivo application_portfolio-packed.exe que al ejecutar
reinicia la computadora tras un supuesto BSOD (pantalla azul) y consecuente
proceso de reparación.
üCifra TODO EL DISCO.

Ransomware
ü KeRanger: El 4 de marzo, se detectó la versión de Ransomware para Mac OS X.
Exige a las víctimas un pago en bitcoin (aproximadamente US$400) a una
dirección específica para recuperar sus archivos. Cifra archivos de backup
realizados por TimeMachine. Medio de transmisión: BitTorrent.

Ransomware
ü Variantes de Locky: mediados de
Julio/16, hay campañas de spam con
asunto llamativo, y archivos maliciosos
con formato ZIP.
ü Hay casos con archivos adjuntos con
formato de Office con macros activas.

Archivos que cifran
üMicrosoft Ofiice (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .rtf)
üOpen Office (.odt, .ods, .odp)
üAdobe PDF
üImágenes (.JPG, .PNG, raw camera, etc.)
üTexto(.txt, .RTF, etc.)
üDatabase (.sql, .dba, .mdb, .odb,. db3, .sqlite3, etc.)
üCompressed le (.zip, .rar, .7z, etc.)
üMail (.pst)
üKey(.pem, .crt, etc.)
üTodo el disco….

Anatomía de un ataque

Ransomwares….
En Córdoba, las versiones más comunes de RANSOMWARE son LOCKY y CRYPTOLOCKER.

Impacto

Impacto
üPérdida de información
üNo se sabe que afectó.
üRepercusión en los Procesos de Negocios.
üAparición/actualización de regulaciones ( Ej: EEUU La Ley de Transferencia y
Responsabilidad de Seguro Médico (Health Insurance Portability and
Accountability Act, HIPAA)).
üEmpresas empiezan a analizar el valor de la información.
üSe detecta problemas de seguridad cuando ha sido tarde. Falta de prevención.
üDefinición de procesos de mejoras (tecnológicas, procedimientos y educación a
usuarios).

¿Cómo protegerse?

¿Cómo protegerse?
✅ Copia de seguridad de los archivos. (Cloud?)
✅ Use el equipo con los menos privilegios posibles.
✅ Un antimalware actualizado en los equipos.
✅ Mantener los productos de softwares actualizados.
✅ Desconfiar de correos con adjuntos o links no reconocidos. No hacer clic en los enlaces
incluidos en correos electrónicos no solicitados (SPAM)
✅ Verifique que el remitente que le envía archivos adjuntos en correos electrónicos sea de
confianza.
✅ No usar medios de descarga de música o software de origen poco confiables.
✅ No usar macros en archivos de MS Office si van a ser usados por terceros.
✅ No mapear unidades de red.
✅ Mantener activa las protecciones de los Sistemas Operativos (UAC, Seg. y privacidad MAC,
otros….)
✅ Utilizar Intranet para almacenar archivos.
✅ NO pagar rescate.

Espacios en Cloud
Microsoft - One Drive
• Hasta 5 Gb es Free
• Hasta 50 Gb, $ 20 x mes.
Dropbox corporativo
• 5 usuarios x U$S 12,50 x mes ilimitado
Apple – Icloud
• Hasta 50 Gb, U$S 0,99 x mes
Google Drive
• Hasta 100 Gb, U$S 1,99 x mes

Proyecto
NECESITA AYUDA desbloqueo de su vida digital sin tener que pagar sus
atacantes ?
https://www.nomoreransom.org/

WWW.PUNTONET-SOLUCIONES.COM
INFO@PUNTONETSOLUCIONES.COM.AR
G O B . J O S E G I G E N A 2 0 6 9 – B º C E R R O D E L A S R O S A S
( X 5 0 0 9 L I E ) – C Ó R D O B A
A R G E N T I N A
Muchas Gracias
@puntonetsol PuntoNetSolucionesSRL

Como proteger la empresa de Ransomware

Más contenido relacionado

Similar a Como proteger la empresa de Ransomware

Más de Enrique Gustavo Dutra

Último

Como proteger la empresa de Ransomware