Informe ransomware

2015-2016

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 2

¿Qué es el ransomware?

2

Ransom = Rescate

Ware = Software

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 3

Historia del ransomware I

3

1989 - AIDS ransomware

Dr. Joseph Popp diseña aplicación sobre el virus del SIDA

Aplicación de pago, pide renovación licencia

Cuando el equipo es arrancado 90 veces Cifrado simétrico

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 4

Historia del ransomware II

4

1996 – Primera PoC de ransomware usando RSA

2006 – Reaparición usando RSA y claves de 660 bits

2011 – Virus de la Policía

2013 – Aparición de CryptoLocker

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 5

Tipos Ransomware

5

Locker (Virus Policía)

CriptoVirus

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 6

Evolución histórica

6

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 7

Víctimas

7

Home users

Empresas

Instituciones públicas

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 8

Tendencias actuales

8

Windows

Teslacrypt

Locky

Torrentlocker

[…]

OSX

KeRanger

Linux

Linux.Encoder

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 9

Nuevas tendencias

9

Web Servers

Móviles

SmartWatch

TV’s

[IoT]

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 10

Malware diseñado para robar datos bancarios.

Las víctimas reciben un correo electrónico que simula ser una factura o el envío de un

paquete con un albarán adjunto.

Los equipos se infectan al descargar el archivo adjunto de Microsoft Word que

contiene macros.

Este malware cifra los archivos del ordenador y exige un pago a quien quiera recuperar el control del equipo infectado.

Locky

10

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 11

Ransomware que se dirige a 185 extensiones de archivos relacionados

con 40 juegos diferentes, cifrando dichos archivos.

Las últimas versiones también infectan equipos sin juegos instalados, buscando extensiones típicas de archivos Word o

pdf.

Este malware aprovecha una vulnerabilidad de Adobe Reader para

infectar los equipos.

Teslacrypt

11

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 12

Petya

Tipo de ransomware que está empezando

a detectarse durante este mes.

Cifra la MFT y modifica el MBR.

¡Ya existe descifrador!

Nuevas tendencias - Abril 2016

12

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 13

Campaña de Correos

Se recibe un email indicando que se intentó

entregar un paquete sin éxito. Se adjunta una url

donde acceder para ver los datos del envío, esta url

lleva una redirección para la descarga del

ransomware.

Esta campaña utiliza una variante de torrentlocker

conocida como crypt0l0cker, se han detectado 7

oleadas hasta la fecha, reportándose 151 incidentes

en lo que va de 2016.

Nuevas tendencias - Abril 2016

13

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 14

Mantener copias de seguridad periódicas de los datos importantes

Mantener el sistema actualizado con los últimos parches de seguridad

Mantener un antivirus actualizado con las últimas firmas de código dañino, así como una correcta configuración de los firewalls.

Disponer de sistemas antispam a nivel de correo electrónico

Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware

Bloquear el tráfico relacionado con dominios y servidores C&C mediante un IDS/IPS

Establecer una defensa en profundidad empleando herramientas como EMET

No utilizar cuentas con privilegios de administrador.

Medidas preventivas

14

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 15

Deshabilitar JS en Acrobat Reader

15

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 16

Deshabilitar Flash y PDF en Chrome

16

Chrome://plugins

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 17

Desinstalar QuickTime

17

• Sin soporte de Apple

• 2 vulnerabilidades críticas descubiertas 14/04/2016

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 18

Desconectar las unidades de red.

Comprobar si el proceso dañino aún sigue ejecutándose.

Finalizar la ejecución del proceso dañino.

Arrancar el equipo en Modo Seguro.

Realizar una copia de seguridad del equipo.

Comunicar el incidente de seguridad al equipo/persona competente.

Medidas reactivas

18

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 19

Estadísticas 2015

19

Cryptolocker 21%

Torrentlocker 20%

Teslacrypt 17%

Cryptowall 25%

Otros 17%

Tipo Nº incidentes

Cryptolocker 93

Torrentlocker 89

Teslacrypt 73

Cryptowall 109

Otros 73

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 20

Estadísticas 2016

20

Tipo Nº incidentes

Locky 231

Teslacrypt 132

Torrentlocker* 151

Otros 37

Locky 42%

Teslacrypt 24%

Torrentlocker 27%

Otros 7%

* Incluye Crypt0l0cker

Informe de Ransomware 2015-2016 SIN CLASIFICAR

www.ccn-cert.cni.es 04/05/2016 21

¿Solución general?

21