1HackParaLosChicos

26deAgosto2016,CiudaddeCórdoba- Argentina

JornadadeSeguridaddelaInformaciónconFinesSolidarios

Ransomware, el secuestro virtual.

¿Cómo me protejo?

#1HackParaLosChicos|EdiciónN° 4 2

DisertanteEnrique G. DutraPunto Net Soluciones SRLedutra@puntonetsoluciones.com.ar

@egdutra @puntonetsol

#1HackParaLosChicos|EdiciónN° 4 3

Agenda

ü ¿QuéesunRansomware?.Conceptosü ¿PorquépagarconBitcoins?ü CasosconocidosyTiposdeataques.ü Vectordeataque.ü ¿Cómo protegersedelosRansomware?.ü Preguntas.

#1HackParaLosChicos|EdiciónN° 4 4

¿Qué es un Ransomware?Definiciones

#1HackParaLosChicos|EdiciónN° 4 5

Ransomware

Vidareal:“…apropiacióndeobjetosdevalor/personasquese

devolveránacambiodeunrescate,unatácticaantesreservadaalosladronesysecuestradoresdelmundoreal….”

Vidadigital:“… Losciberdelincuentes empleanuntipo

de malware denominado"ransomware",quepuedeinfectarunordenadoroundispositivomóvilyrestringirelaccesoalosarchivosyprogramasquecontiene,amenosqueelusuarioaccedaapagarunrescatepararecuperarlo…

Fuente:IntelMcafee

#1HackParaLosChicos|EdiciónN° 4 6

Ransomware

RANSOM WARErescate softWARE

MAL WAREMALicius softWARE

#1HackParaLosChicos|EdiciónN° 4 7

Ransomware

RECUPERACIONSEPAGACON

#1HackParaLosChicos|EdiciónN° 4 8

Bitcoins

ü Bitcoins esunamonedavirtualeintangible.SerumoreaqueelcreadoresSatoshi Nakamoto peronohaydatoscerteros.

ü Peer-to-PeerElectronic CashSystem.ü Elsoftwareempleala criptografía.ü Sólopuedansergastadosporsudueño,ynuncamásde

unavezporelmismo.ü Porlacombinacionesdesemillas(hash)solohabrá

21.000.000debitcoins yseesperaqueesténgeneradostodosparael2033.

ü Subendeprecio,porqueamedidaquesegeneran,cuestamásquesegenerennuevos.Llegaráunmomentoqueseestabilizaránporqueohabrámasquecrear.

ü Sistemabasadoenlaconfianza.

#1HackParaLosChicos|EdiciónN° 4 9

Bitcoinsü Billetera:personaqueadquiereelsoftware

parahacertransaccionesconBitcoins.ü Identificación:seidentificaconunacadenade

33dígitos,como1rYK1YzEGa59pI314159KUF2Za4jAYYTd.

ü Certificados:Cadausuariotieneunallavepublicayprivada(certificadodigital).

ü Transferenciavia P2P:víatransferenciamedianteaplicacionescliente/servidorsetransfiereloscertificadosquerespaldanlosbitcoins.

ü Comercios:DELL,Wikipedia,WordPress ycomerciosenEuropa.

#1HackParaLosChicos|EdiciónN° 4 10

Bitcoins

Valores• 1BTC=U$S550• https://localbitcoins.com/• https://blockchain.info/es• http://www.bitcoinargentina.org/• Unpedidoderecuperación rondaentrelos2y5bitcoins.DependedelRansomware.(puedenllegarhasta25btc)

#1HackParaLosChicos|EdiciónN° 4 11

#1HackParaLosChicos|EdiciónN° 4 12

#1HackParaLosChicos|EdiciónN° 4 13

Variantes del mismo problema

#1HackParaLosChicos|EdiciónN° 4 14

VectorInfección

#1HackParaLosChicos|EdiciónN° 4 15

PrimerosRansomware

ü Primer ransomware creado 1989, conocido como AIDS oPC Cyborg, Joseph Popp pedía pago por archivos cifrados.Reclamaban U$S 189 y se cancelaba mediante medio depago.

ü En mayo 2012, Trend Micro descubrió las variaciones deun malware llamado Reventon para los Estados Unidos yCanadá que pedía un pago a medios de pagos.

ü En agosto 2012, se comenzó a utilizar el logo del FBI parareclamar una fianza de 200 dólares a pagar mediante unatarjeta de MoneyPak a los propietarios de computadoresinfectados.

Problema: manera de cobrar por parte del delincuente una vez que le eran depositados los

U$S. A parte se los podía rastrear una vez denunciados.

#1HackParaLosChicos|EdiciónN° 4 16

VersionesdeRansomware

ü Reventon: reapareció en 2012. Requería U$S 200 para obtenerla contraseña de recuperación.

ü CryptoLocker: aparece en septiembre del 2013. 3 días parahacer el pago o se elimina la clave privada que se utilizó paracifrar archivos o aumentaría de a 10 BTC a medida que pasa eltiempo.

ü CryptoLocker.F and TorrentLocker: aparece en Australiaseptiembre del 2014. Se propagaba por correo electrónico,enviaba un e-mail de entrega fallida y pedía al usuario queingresara a un sitio web, con previa validación de un CAPTCHAbajaba el malware y el usuario nunca veía el correo fallado.

ü CryptoWall: surge a principios de 2014 bajo el nombre deCryptoDefense, afecta a S.O Microsoft. Se propaga a través delcorreo electrónico con suplantación de identidad. Ya está por laversión 4.0 y el FBI estima pérdidas de al menos U$S 18millones.

#1HackParaLosChicos|EdiciónN° 4 17

VersionesdeRansomwareü Petya: Tiene como objetivo el departamento de RRHH de

las empresas. Los empleados reciben correos consolicitudes de empleo, las cuales incluyen un enlace aDropbox con el archivo application_portfolio-packed.exe que al ejecutar reinicia la computadora trasun supuesto BSOD y consecuente proceso de reparación.Cifra TODO EL DISCO.

#1HackParaLosChicos|EdiciónN° 4 18

VersionesdeRansomware

ü KeRanger:El4demarzo,sedetectó laversióndeRansomware paraMacOSX.Exigealasvíctimasunpagoenbitcoin (aproximadamenteUS$400)aunadirecciónespecíficapararecuperarsusarchivos.Cifraarchivosdebackup realizadosporTimeMachine.Mediodetransmisión:BitTorrent.

#1HackParaLosChicos|EdiciónN° 4 19

VersionesdeRansomware

ü Variantes de Locky: mediados de Julio/16, hay campañasde spam con asunto llamativo, y archivos maliciosos conformato ZIP.

ü Hay casos con archivos adjuntos con formato de Officecon macros activas.

#1HackParaLosChicos|EdiciónN° 4 20

Ver Excel con Versioneshttp://seguridadit.blogspot.com.ar/2016/08/ransomware-parte-iii.html

#1HackParaLosChicos|EdiciónN° 4 21

Archivosquecifran

ü MicrosoftOfiice (.doc,.docx,.xls,.xlsx,.ppt,.pptx,.rtf)ü OpenOffice(.odt,.ods,.odp)ü AdobePDFü Imágenes (.JPG,.PNG,raw camera,etc.)ü Texto(.txt,.RTF,etc.)ü Database (.sql,.dba,.mdb,.odb,.db3,.sqlite3,etc.)ü Compressedle(.zip,.rar,.7z,etc.)ü Mail(.pst)ü Key(.pem,.crt,etc.)ü Todoeldisco….ü Todoelserver...ü Todoelcelular....

#1HackParaLosChicos|EdiciónN° 4 22

Ransomware

#1HackParaLosChicos|EdiciónN° 4 23

Reflexionar…

#1HackParaLosChicos|EdiciónN° 4 24

¿Cómo protegerse?

#1HackParaLosChicos|EdiciónN° 4 25

Prevención

✅ Copiadeseguridaddelosarchivos.✅ Useelequipoconlosmenosprivilegiosposibles.✅ Unantimalwareactualizadoenlosequipos.✅ Mantenerlosproductosdesoftwaresactualizados.✅ Desconfiardecorreosconadjuntosolinksnoreconocidos.Nohacerclic

enlosenlacesincluidosencorreoselectrónicosnosolicitados(SPAM)

✅ Verifiquequeelremitente queleenvíaarchivosadjuntosencorreoselectrónicosseadeconfianza,encasodetenerdudaspregúntelesifueélquienleenvióeldocumentoqueustedestáapuntodeabrir.

✅ Nousarmediosdedescargademúsica osoftwaredeorigenpococonfiables.

✅ NousarmacrosenarchivosdeMSOfficesivanaserusadosporterceros.

✅ Nomapearunidadesdered.✅ MantenerproteccionesdeS.O(UAC,otros….)✅ Nopagarelrescate.

#1HackParaLosChicos|EdiciónN° 4 26

Proyecto

NECESITAS AYUDA: desbloqueo de su vida digital sin tener que pagar sus atacantes?

https://www.nomoreransom.org/

#1HackParaLosChicos|EdiciónN° 4 27

Preguntas?

@egdutra

@chgaray

#1HackParaLosChicos|EdiciónN° 4 28

LinksdeInteres

Artículosquedansoporteaestaconferenciaen:

ü http://seguridadit.blogspot.com.ar/

ü https://www.nomoreransom.org/

ü http://computerhoy.com/tags/ransomware

MuchasGracias!!#1hackparaloschicos