Painel 2. Washington U. Almeida Jr. Engenheiro Eletrônico Perito Forense Digital

Tamanho: px

Começar a partir da página:

Download "Painel 2. Washington U. Almeida Jr. Engenheiro Eletrônico Perito Forense Digital"

Ayrton Caminha Monsanto
6 Há anos
Visualizações:

Painel 2 Proteção X Sequestro de Dados Pessoais - A importância da conscientização sobre proteção de dados pessoais; 01 Ransomware Nova modalidades sequestro de dados;

1 Painel 2 Proteção X Sequestro de Dados Pessoais - A importância da conscientização sobre proteção de dados pessoais; 01 Ransomware Nova modalidades sequestro de dados; precauções e pontos de atenção para empresas Washington U. Almeida Jr. Engenheiro Eletrônico Perito Forense Digital wualmeida@outlook.com 1

2 02 Ransomware em ação 2

3 03 Sobre os tipos de vírus Malware: O termo malware é proveniente do termo em inglês malicious software; é um software destinado a infectar um sistema de computador alheio de forma ilícita, que tem como principal característica a execução de uma ação no dispositivo infectado. Spywares: Categoria de malware que têm como objetivo monitorar as atividades de um sistema, enviando os dados e as informações coletadas. Bots e Botnets: Programas capazes de se propagar utilizando falhas nos programas, permititindo comunicação com o invasor, e, portanto, são controlados remotamente. Cavalo de Tróia Trojan Horse: Programas projetados para serem recebidos como presentes, porém, além de executar as funções para as quais foram programados, executam outras sem o conhecimento do usuário. Worms: É um tipo de malware capaz de se propagar automaticamente por meio de redes, enviando cópias de si para outros computadores, a partir de falhas em programas. Keyloggers: Programas que capturam e armazenam as teclas digitadas no computador infectado. 3

4 04 O que é o Ransonware? 4.1 Ransomware é um Malware; 4.2 Bloqueio de acesso a arquivos e sistemas; 4.3 Encripta os arquivos de dados da vítima; 4.4 Resgate dos dados mediante pagamento; 4.5 Moeda de negociação: Bitcoin, ethereum, etc. Categorias: 4.6 Locker 4.7 Crypto 4

5 05 Você pode ser infectado por ransomware quando: Website comprometido Phishing Dispositivo USB HD Externo Apk suspeitos Patches Outros tipos de malware Outras vulnerabilidades: WannaCry Patch MS Programas de origem suspeita A.V. desatualizados 5

06 Ransomware: Anatomia do ataque Ransomware alcança o computador Locker: Bloqueia a tela Tela do ransomware: Instruções para resgate Estágios da infecção: Crypto: Criptografa arquivos 1.

Comunicação: O malware se comunica com os servidores de chave de criptografia para obter a chave pública necessária para criptografar os dados; 4.

6 06 Ransomware: Anatomia do ataque Ransomware alcança o computador Locker: Bloqueia a tela Tela do ransomware: Instruções para resgate Estágios da infecção: Crypto: Criptografa arquivos 1. Distribuição: Phishing, links falsos, anexos de s, macros office, etc; 2. Infecção: O malware alcança o computador e inicia os processos necessários para completar as atividades de infecção; 3. Comunicação: O malware se comunica com os servidores de chave de criptografia para obter a chave pública necessária para criptografar os dados; 4. Pesquisa no ambiente: O ransomware procura por arquivos em todos os drives; 5. Criptografia: Pontos de restauração e Volume Shadow Copy são excluídos e os arquivos são criptografados; 6. Extorsão: Pedido de resgate mediante pagamento em crypto moeda, normalmente o bitcoin. 6

7 07 Ransomware: Evolução 682% Fonte: F-Secure ( 7

08 Penetração do WannaCry em 12/05/2017 Fonte: https://intel.

8 08 Penetração do WannaCry em 12/05/2017 Fonte: Acesso: 12 de Maio,

9 09 Redes Industriais - ICS 9

10 10 Controle das Redes Industriais - Sistemas SCADA 10

11 11 Ransomware nas redes industriais ICS Indústria de petróleo Russia Sistema de tratam. água Maroochi Austrália British Airways Railcorp Delta Airlines Navio indústria USA Campanha Stuxnet Instalações nucleares Irã Campanha DUQU Sistemas SCADA ASIA Campanha Blaken GE Cimplicity Sistema de Água e energia Coréia Sistema de Transporte Coréia Central Nuclear Alemanha Grande empresa de Energia do Sul do Brasil Mirai Gasoduto Trans-Sib. Russia Controle de transporte USA Usina Nuclear Davis-Besse USA Gasoduto de Bellingham USA Tehama Colusa Canal Authority USA Marinha da França Companhia de petróleo do Irã Operação noite do dragão EXXO, Shell, BP, entre outras Campanha Mundial SCADA update Siemens Simatic GE Cimplicity Advantec Campanha Havex botnet Múltiplos alvos BlackEnergy Malha de energia Ucrânia Indústria de Aço Alemanha Kemuri Water Company USA Indústria de móveis - GO Brasil WannaCry 11

12 12 Ransomware nas redes industriais - ICS (cont.) Internet Rede Corporativa Rede Industrial Nível de Supervisão Nível de Controle Nível de Campo 12

13 13 Ransomware nas redes industriais - ICS (cont.) Internet Rede Corporativa Rede Industrial 13

14 14 Ransomware nas redes industriais - ICS (cont.) Internet Rede Corporativa Rede Industrial Manutenção por terceiros 14

15 15 Ransomware nas redes industriais - ICS (cont.) Internet Rede Corporativa Rede Industrial 15

16 16 Ransomware nas redes industriais - ICS (cont.) Internet Rede Corporativa Rede Industrial 16

17 17 Ransomware nas redes industriais - ICS (cont.) ZoomEye é um motor de busca para o ciberespaço para varredura de portas e análise de fingerprint Hosts: Web: Consulta em 20/06/

18 18 Ransomware nas redes industriais - ICS (cont.) 18

19 19 Ransomware: Padrões observados e ações Vetor de infecção Criptografia Tempo de persuação Método de persuação Características Geração das chaves Alterações Método (*) s SPAM, links internet; Algoritmo AES-256 e RSA; Após 100hs custo para o resgate dobra; Permite descriptografar um arquivo; Exclui volume shadow copy epontos de restauração; Armazenado em servidor C2 remoto; Desabilita o Gerenciador de Tarefas; Chaves de registro do Windows: Run e Run Once ; Bloquear os serviços de proxy TOR, I2P, domínios.onion e endereços IP s maliciosos (blacklist). 19

20 20 Ransomware: Engenharia Social x Hackers Processo de decriptografia iniciado Processo de decriptografia finalizado 20

21 21 Recomendações para Backup A EMPRESA ESTÁ MONITORANDO O SISTEMA DE BACKUP? Como está o sistema de backup? Serviço é terceirizado? Quem monitora? BACKUPS TIPO DE BACKUP FREQUÊNCIA TOLERÂNCIA À FALHAS Mantenha atualizados; Monitore os logs diariamente. Automático; Espelhamento passivo. Diário; Alteração dos dados. E se o backup falhar? Possui redundância? O BACKUP SERÁ A MELHOR ALTERNATIVA SE O RANSOMWARE ALCANÇAR OS ATIVOS DA EMPRESA 21

22 22 Recomendações gerais aos usuários 1 Backup Faça backup regularmente 2 Antivírus/Anti-Ransom Mantenha sistemas de proteção atualizados 3 4 Software Adquira somente produtos originais e mantenha-os atualizados s Pense duas vezes antes de abrir qualquer 5 Mídias removíveis Verifique as mídias externas antes de acessar os dados 22

23 23 Recomendações Corporativas 1 Antivírus/Anti-Ransom Manter atualizados e monitorar logs diariamente Revisão dos sistemas Auditoria de software, considere fazer uso do Windows AppLocker Revisão das políticas Revisar periodicamente as políticas de segurança da informação Testes de penetração Simular testes de invasão 5 Treinamento Conscientizar e treinar os usuários 23

24 24 FIM Washington U. Almeida Jr. Engenheiro Eletrônico Perito Forense Digital 24

Documentos relacionados

FIESP: Painel 2 Palestra Ransomware

FIESP: Painel 2 Palestra Ransomware Transcript dos slides apresentados no evento promovido pela FIESP : Proteção X Sequestro de Dados Pessoais - A importância da conscientização sobre proteção de dados pessoais; Ransomware nova modalidades