trend micro. Карен Карагедян. "ransomware: платить нельзя...

Ransomware: платить нельзязащититься

Confidential | Copyright 2017 Trend Micro Inc.

Карен Карагедян

КОД ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Новосибирск, 30.03.2017

Copyright 2015 Trend Micro Inc.2 Copyright 2017 Trend Micro Inc.2

Домашние

пользователиГосударственный

секторМалый бизнес

Партнеры и

OEM

Крупные

предприятия

Рабочие

станции

Сервера Виртуальные

системыЭлектронная

почтаСеть ОблакоИнтернет-

шлюз

Trend Micro — глобальный разработчик средств кибербезопасности

Copyright 2015 Trend Micro Inc.3 Copyright 2017 Trend Micro Inc.3

Общее количество заблокированных угроз, 2016

— первое полугодие

Copyright 2015 Trend Micro Inc.4 Copyright 2017 Trend Micro Inc.4

Угрозы в электронной почте

— первое полугодие

— второе полугодие

74% of targeted attacks involve spear phishing

emails. – Trend Labs Jan 2016

3/31/2017 5Copyright 2017 Trend Micro Inc.

74%Целенаправленных атак доставляются посредством электронной почты

Угрозы в электронной почте

Copyright 2015 Trend Micro Inc.7 Copyright 2017 Trend Micro Inc.7

Статистика форматов файлов

Об

озн

ач

ен

ия

«хорошие»данные

«плохие»данные

Неизвестныеданные

Репутация файлов и Веб,

предотвращение

уязвимостей, контроль

приложений, выявление

модификаций

Поведенческий анализ

Блокировка

вредоносных

файлов

Уменьшение«шума»

Машинное обучение перед

исполнением

Машинное обучение во

время исполнения

Подходящая технология в подходящее время

Безопасны

е файлы

Copyright 2015 Trend Micro Inc.9 Copyright 2017 Trend Micro Inc.9

Новые семейства программ-вымогателей

Рост 750%

Январь 2016 — программы-вымогатели

ФОРМА ОПЛАТЫ

СПАМ

2 BTC

КЛЮЧИ

ГЕНЕРИРУЮТСЯ

ЛОКАЛЬНО И

УДАЛЯЮТСЯ

ПУБЛИЧНЫЙ КЛЮЧ БЕРЁТСЯ С C&C

КЛЮЧ ШИФРОВАНИЯ НА СЕРВЕРЕ

ФАЙЛЫ БД

Нужно связаться с автором для получения инструкций по оплате

СПАМ СПАМ СПАМ СПАМ СПАМ

13 BTC 0.5 BTC 1 BTC 0.1 BTC

НЕТ СООБЩЕНИЯ

О ВЫКУПЕ

ЧИСЛО ДЕТЕКТОВ В

SPN

РАСПРОСТРАНЕНИЕ

ШИФРУЕМЫЕ

ДАННЫЕ

ФАЙЛЫ БД

ЛИЧНЫЕ ФАЙЛЫ ЛИЧНЫЕ

ФАЙЛЫ

ТОЛЬКО ЛИЧНЫЕ ФАЙЛЫ

КЛЮЧИ

ГЕНЕРИРУЮТСЯ

ЛОКАЛЬНО

КЛЮЧИ

ГЕНЕРИРУЮТСЯ

ЛОКАЛЬНО

ПРИВАТНЫВЙ КЛЮЧ НА СЕРВЕРЕ

КРИПТОГРАФИЯ

САМОУНИЧТОЖЕНИЕ

ФАЙЛЫ БД ФАЙЛЫ БДВЕБ-СТРАНИЦЫФАЙЛЫ БД

+

КЛЮЧИ ГЕНЕРИРУЮТСЯ ЛОКАЛЬНО

CRYPNISCA CRYPRITUCRYPRADAM CRYPJOKERLECTOOL EMPERMEMEKAP

НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ

LECTOOL EMPER CRYPRADAMMEMEKAP

CRYPNISCA CRYPJOKER CRYPRITU

Маскируется под прикрепленный PDF-

файл

Февраль 2016 — программы-вымогатели

САМОУНИЧТОЖЕНИЕ

ЛИЧНЫЕ

ФАЙЛЫЛИЧНЫЕ

ФАЙЛЫ

LOCKYCRYPHYDRA

ИНСТРУМЕНТАРИЙ ДЛЯ УДАЛЁННОГО ВЗЛОМА

SYNC MANGER LOGGER

СПАМ В ВИДЕ СЧЕТА НА ОПЛАТУ

Маскируется под

прикрепленный PDF-

файл

СПАМ СПАМ

1 BTC 0.5 - 1 BTC2 BTC536 GBP

1.505 BTC0.8 BTC$350

400 долларов заплатить автору по инструкции

ФАЙЛЫ БД

ТОЛЬКО

ЛИЧНЫЕ ФАЙЛЫВЕБ-СТРАНИЦЫ

+ ТОЛЬКО

ЛИЧНЫЕ ФАЙЛЫ

КЛЮЧИ

ГЕНЕРИРУЮТСЯ

ЛОКАЛЬНО

КЛЮЧИ

ГЕНЕРИРУЮТСЯ

ЛОКАЛЬНО

КЛЮЧИ

ГЕНЕРИРУЮТСЯ

ЛОКАЛЬНО

КЛЮЧ ШИФРРОВАНИЯ БЕРЕТСЯ С C&C

ПУБЛИЧНЫЙ КЛЮЧ

БЕРЁТСЯ С C&CПУБЛИЧНЫЙ КЛЮЧ

БЕРЁТСЯ С C&C

ФАЙЛЫ БДКОД

КОШЕЛЕК

MADLOCKERCRYPDAP CRYPZUQUITCRYPGPCODE

МАКРОС ИЛИ

ПРИКРЕПЛЕННЫЙ JS

НЕТНЕТНЕТНЕТНЕТ

CRYPGPCODE CRYPHYDRA CRYPDAP CRYPZUQUIT MADLOCKER LOCKY

ФОРМА ОПЛАТЫ

ЧИСЛО ДЕТЕКТОВ В

SPN

РАСПРОСТРАНЕНИЕ

ШИФРУЕМЫЕ

ДАННЫЕ

КРИПТОГРАФИЯ

ФОРМА ОПЛАТЫ

ЧИСЛО ДЕТЕКТОВ В

SPN

РАСПРОСТРАНЕНИЕ

ШИФРУЕМЫЕ

ДАННЫЕ

КРИПТОГРАФИЯ

Март 2016 — программы-вымогатели

САМОУНИЧТОЖЕНИЕ

ЛИЧНЫЕ

ФАЙЛЫЛИЧНЫЕ

ФАЙЛЫ

KeRanger

ФАЙЛЫ С МАКРОСАМИ

ИГРЫ

CRIPTOSO

1.18 – 2.37 BTC$500 — $1000

TEAM VIEWER

ПЕРЕЗАПИСЫВАЕТ MBR

0.99 – 1.98 BTC$431 — $862

1 BTC и увеличивается на 1 BTC ежедневно

ФАЙЛЫ ВОЗВРАТА

НАЛОГОВ США

COVERTON

1 BTC

ИНСТРУМЕНТАРИЙ

ДЛЯ УДАЛЁННОГО

ВЗЛОМА

СПАМСПАМ В ВИДЕ УСЛОВИЙ

ПРЕДОСТАВЛЕНИЯ УСЛУГИПРИКРЕПЛЕННЫЙ МАКРОС,

ЗАГРУЖАЮЩИЙ КОД

ПОИСК РАБОТЫ СО ССЫЛКОЙ НА DROPBOX

МАКРОС ИЛИ

ПРИКРЕПЛЕННЫЙ JSИНСТРУМЕНТАРИЙ

ДЛЯ УДАЛЁННОГО

ВЗЛОМА

+

1.24-2.48 BTC 1 BTC 1.3 BTC

ФАЙЛЫ БД ФАЙЛЫ БД

1.4 – 3.9 BTC$588 — $1638

0.5 — 25 BTC

ФАЙЛЫ БДRJL

ИГРЫ КОШЕЛЕКФИНАНСОВЫЕ

ФАЙЛЫ

ПУБЛИЧНЫЙ КЛЮЧ БЕРЕТСЯ С C&C

КЛЮЧ AES ГЕНЕРИРУЕТСЯ ЛОКАЛЬНОПУБЛИЧНЫЙ КЛЮЧ

БЕРЕТСЯ С C&C

ПЯТЬ ПАР КЛЮЧЕЙ ГЕНЕРИРУЮТСЯ

ЛОКАЛЬНО. ОДИН КЛЮЧ ТРЕБУЕТ КЛЮЧ RSA

ПРИВАТНЫЙ КЛЮЧ

ВЫДАЕТСЯ ПОСЛЕ

ОПЛАТЫ

ПРИВАТНЫЙ КЛЮЧ

ВЫДАЕТСЯ ПОСЛЕ

ОПЛАТЫ

ПРИВАТНЫЙ КЛЮЧ

ВЫДАЕТСЯ ПОСЛЕ

ОПЛАТЫ

ПРИВАТНЫЙ КЛЮЧ

ВЫДАЕТСЯ ПОСЛЕ

ОПЛАТЫ

ПРИВАТНЫЙ КЛЮЧ ВЫДАЕТСЯ ПОСЛЕ

ОПЛАТЫ

Он разговаривает!

Уникально

Уникально

Сценарий наPower shell

TESLA 4.0CERBER CRYPAURA PETYAMAKTUB SURPRISEPowerware

НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ

CERBER CRYPAURAKERANGER

TESLAMAKTUB SURPRISE PETYA POWERWARE CRYPTOSO COVERTON

APPSTORE

http://blog.trendmicro.com/trendlabs-security-intelligence/cerber-crypto-ransomware-speaks-sold-russian-underground/

Copyright 2015 Trend Micro Inc.13 Copyright 2017 Trend Micro Inc.13

Программы-вымогатели в цифрах

– Форбс, февраль 2016

Число систем, заражаемых Locky в день

90,000

$200-10kХарактерный размер выкупа

– ФБР, апрель 2016

69,000++Число образцов, обнаруженных в 2015 г.

– Trend Labs, 2016

Copyright 2016 Trend Micro Inc.14

Как это работает

Всевозможные каналыпроникновения

Данные шифруются

Требование выкупа Плати заРасшифровку

данных

Восстанавливай изрезервной копии

ИЛИ

Подробнее: http://blog.trendmicro.com/trendlabs-security-intelligence/youtube-ads-lead-to-exploit-kits-hit-us-victims/

Более 100 тысяч жертв за 30 дней

Распространение через рекламные сети

Примеры сообщений, содержащих CryptoWall

1

6

BETTER CALL SAUL

Copyright 2016 Trend Micro Inc.18

Защита от программ-вымогателей

Обучение пользователей Осведомленность, лучшие практики, проверка

Улучшение уровня защитыПоследние версии, веб-репутация, поведенческий анализ, дополнительные технологии

Отказ от выплаты выкупаВыплата мотивирует злоумышленников на дальнейшие атаки

Своевременная установка заплатМинимизация вероятности взлома через уязвимости

Контроль доступаОграничение доступа на запись к

важным для бизнеса данным для большинства сотрудников

Резервное копирование (3-2-1)Автоматизированное: три копии, два формата, одна копия хранится без подключения к сети

Copyright 2016 Trend Micro Inc.19

Защита Trend Micro от программ-вымогателей

СЕТЕВАЯЗАЩИТА

ГИБРИДНАЯ ОБЛАЧНАЯБЕЗОПАСНОСТЬ

ЗАЩИТАПОЛЬЗОВАТЕЛЯ

ВИЗУАЛИЗАЦИЯИ УПРАВЛЕНИЕ

Copyright 2016 Trend Micro Inc.20

Цели программ-вымогателей

Серверы

Атак на сервера

относительно мало,

но урон может быть

очень большим

Большая часть

программ-

вымогателей

использует

известные

уязвимости

Vulnerability Shielding

against unknown

threats

Blocks lateral

movement

Copyright 2016 Trend Micro Inc.21

Сеть

Серверы

Цели программ-вымогателей

Вероятная точка

входа

Распространение к

другим

пользователям и на

серверы

Пользователи

Сети

Цели программ-вымогателей

Серверы

Конечные точки —

самая вероятная

цель

Веб и целевой

фишинг —

наиболее

типичные методы

атаки

«Песочница» Экранирование

уязвимостей

Контроль приложений

Веб-шлюз

Шлюз электронной

почты

Контроль поведения программ-

вымогателей

Выявление особых угроз

Защита от целевого фишинга

Репутация сайтов и IP-

адресов

«Песочница»Экранирование

уязвимостей

Конечный узелСетьСервер

Most ransomwares can be stopped on gateway level

The last defense is Anti-Ransomware feature to proactively detect & block ransomware execution

Effective Layered Protection

Copyright 2016 Trend Micro Inc.

Copyright 2016 Trend Micro Inc.25

Объединенная защита от угроз: Лучшая и более быстрая защита

Централизованная

сквозная визуализация,

анализ и оценка

влияния угроз

Оперативная реакция, благодаря

своевременной информации об

угрозах и обновлений в реальном времени

Детектирование особых

типов вредоносного

кода и странного

поведения сети, не

заметных для

стандартных средств

безопасности

Выявление потенциальных уязвимостей и превентивная защита конечных точек, серверов и приложений

ЗАЩИТА

ОБНАРУЖЕНИЕ

РЕАКЦИЯ

ВИЗУАЛИЗАЦИЯИ УПРАВЛЕНИЕ

Защита от программ-вымогателей на конечных точках

1. Традиционный подход

– Зависит от сигнатур программ-вымогателей

– Предоставляет специальные инструменты для сдерживания распространения

3. Передовые технологии– Контроль приложений с целью

выявления процессов, шифрующих файлы

– Исключение из анализа легитимных процессов

– Блокировка и перемещение в карантин

Конкурирующие решения в основном используют первый и второй подходы, в то время, когда продукты Trend Micro используют все три, а также подход на основе белых списков

2. Поведенческий анализ

– Выявляет поведение, характерное для программ-вымогателей

Copyright 2015 Trend Micro Inc.27 Copyright 2017 Trend Micro Inc.27

Уязвимости АСУ ТП

IoT, IoV, IoE…Концерн Fiat Chrysler отзывает 1,4

миллиона машин из-за уязвимости

Confidential © 2017 Trend Micro Inc.

Магический квадрант Гартнера для систем защиты конечных точекЯнварь 2017

This graphic was published by Gartner, Inc. as part of a larger research

document and should be evaluated in the context of the entire document. The

Gartner document is available upon request from

https://resources.trendmicro.com/Gartner-Magic-Quadrant-Endpoints.html

Gartner does not endorse any vendor, product or service depicted in its research

publications, and does not advise technology users to select only those vendors

with the highest ratings or other designation. Gartner research publications

consist of the opinions of Gartner's research organization and should not be

construed as statements of fact. Gartner disclaims all warranties, expressed or

implied, with respect to this research, including any warranties of merchantability

or fitness for a particular purpose.

Copyright 2017 Trend Micro Inc.

ЛИДЕР РЫНКАзащиты серверов в

течение последних

семи лет

S****tec

In**l

Other

30%

Source: IDC, Securing the Server Compute Evolution: Hybrid Cloud Has Transformed the Datacenter, January 2017 #US41867116

Приглашаю на наш стенд!

Copyright 2017 Trend Micro Inc.

Карен Карагедян (karen_karagedyan@trendmicro.com)