RansomwareLamejorestrategiaparadetectarlo

enServidores

DanielaFda.ArroyoBarocio

Copyright 2016 Trend Micro Inc.

Copyright2016TrendMicroInc.2

Ransomware on server

LasmúlDplescapasdelRansomware

URL

Compromised website

Download ransomware

Exploit kit

Ransomware executable

Attachment

Document

JavaScript

Ransomware on endpoint

ExposureLayer Infec4onLayer

Execution: encrypt files and ransom

Execution: encrypt shared files & folders and ransom

Lateral Movement

Copyright2016TrendMicroInc.3

Server Security

Email Security Endpoint Security

LasmúlDplescapasdelRansomware

Document

JavaScript

Ransomware executable

URL

Download ransomware

Attachment

Web Security

Network Security

Endpoint Security

Exploit kit

Compromised website

Ransomware on endpoint

Execution: encrypt files and ransom

Ransomware on server

Lateral Movement Execution:

encrypt shared files & folders and ransom

Copyright2016TrendMicroInc.4

Usuarios

Obje4vosdelRansomware

LosequiposdelosusuariossonelpuntodeaccesomáscomúnLaspáginaswebqueexplotanvulnerabilidadesyloscorreosdephishingdirigidosonlosvectoresdeataquepreferidos

Copyright2016TrendMicroInc.5

Usuarios

Obje4vosdelRansomware

RedCorpora4va

Tambienusadocomoposiblepuntodeentradau4lizandocarpetascompar4dasElRansomwaresereplicaaotrosusuariosyalosservidoresu4lizandolared

Copyright2016TrendMicroInc.6

Usuarios

Obje4vosdelRansomware

RedCorpora4va

Servidores

Másdestruc4vosymásrentablesLamayoríadelransomwareparaservidoresexplotavulnerabilidadesconocidasU4lizanmovimientolateralparallegaralosservidores

Copyright2016TrendMicroInc.7

Ransomwareeneldatacentermoderno

•  UnenfoquemulDcapaquehagamássenDdoparadisminuirelriesgoentodalaempresa

•  Lamayoríadelosataquessonalosusuarios,peropuedenpropagarseatodoslosserversmedianterecursoscomparDdos

•  Algunosataquesrecientes(Ej.SAMSAM)seaprovechandesistemasvulnerablesonoparchados,obligandoalasempresasapagarunrescatepararecuperarsuoperación

Copyright2016TrendMicroInc.8

https://krebsonsecurity.com/2016/09/ransomware-getting-more-targeted-expensive/ https://www.fbi.gov/news/stories/incidents-of-ransomware-on-the-rise

Copyright2016TrendMicroInc.9

¿QuéDpodearchivosbuscancifrarlosatacantes?

Copyright2016TrendMicroInc.10

Vectoresdeinfección

Copyright2016TrendMicroInc.11

ProtecciónparaservidoresanteransomwareTrendMicroprovee:•  AnD-malwareywebreputaDon•  BlindajedeVulnerabilidades(intrusionprevenDon)•  Detección y prevención de movimientos laterales paradetenerlapropagaciónmediantelaprevencióndeintrusos

•  EspecíficamenteparaRansomware:–  Detección y alertas ante comunicación de Comando y control

(C&C)–  Defensa en file serversWindows & Linux ante infecciones de

ransomwarequeprovengandeusuariosyquerealicencambiossospechososenarchivoscomparDdos

•  Monitoreo y alertamiento ante cambios y accesos noautorizadosalosservidores

Copyright2016TrendMicroInc.12

AnD-malwareyreputaciónweb

•  PrevieneelaccesoaURLsmaliciosas,inclusoconransomware

•  ProtecciónanDmalwareenDemporealensistemasWindows&Linux,basadoenunainteligenciaglobaldeamenazas

Copyright2016TrendMicroInc.13

RansomwaretambiénseveenLinux

Copyright2016TrendMicroInc.14

BlindajedeVulnerabilidades

•  Detecciónyprevencióndeataquesmediantevulnerabilidadesdesofwareyaplicaciones(Ej.ElrecienteataqueavulnerabilidadenservidoresJBOSS)

•  EscaneoAutomá4co,recomendacionesydesplieguedereglasespecificasparacadaSistemaOperaDvoyaplicación

•  ‘ParcheoVirtual’devulnerabilidadeshastaquepuedaaplicarelparchedelfabricante,siesqueésteexisteomigrarsuSistemaOperaDvo

Copyright2016TrendMicroInc.15

Elfabricanteyanodasoporte…

http://www.trendmicro.es/media/wp/protecting-eos-systems-wp-en.pdf

“TrendMicrosecomprometeasoportarlaproteccióndeWindowsServer2003hastael2020yasípermi4runamigraciónfluida”

Copyright2016TrendMicroInc.16

Haycasosqueliteralmentesondevidaomuerte

https://www.hackread.com/ransomware-attack-on-nhs-system/

Copyright2016TrendMicroInc.17

DetecciónyPrevencióndemovimientoslateralesLasreglasdePrevencióndeIntrusospermiteprevenirymonitorear:• Movimientoslateralesdelosatacantesparaevitarquelleguenamásservidores

•  Herramientasdelatacante:especialmentetráficoenlareddeherramientasdeadministraciónremota(RATs)

•  TípicamenteuDlizadasporlosatacantespara“regresar”ytomarelcontroldelosservidores

Copyright2016TrendMicroInc.18

DetecciónyPrevenciónCommand&Controlanteransomware

Command and Control server

OtrosServers File Servers

EstasreglasenDeepSecurityDetectanyBloqueaneltraficoC&C

Copyright2016TrendMicroInc.19

RansomwareenfileserversDetecciónyPrevencióntemprana

Ransomware Infecta al

usuario final

EndPoints tienen montadas unidades hacia recursos compartidos

Ransomware c i f ra archivos en carpetas c o m p a r t i d a s a u n cuando el servidor no esté infectado

File Server - Windows or Linux

(Samba)

Detección: Rule 1007596 – Identifica actividad sospechosa que renombre las extensiones de archivos en carpetas compartidas -  Detecta el renombre de hasta 50

extensiones relacionadas con ransomware.

-  Provee detección temprana

Detección y Protección: Rule 1007598 – Identifica actividad sospechosa que este renombrando archivos Actividades en recursos compartidos: -  La regla previene el renombrado después de N

renombres en T1 segundos, detiene por T2 segundos

-  Ej. Si Deep Security detecta 10 archivos renombrados en 60 seconds, se detiene cualquier actividad de renombre por Ej.24 hrs

Copyright2016TrendMicroInc.20

Monitoreoyalertamiento

Los atacantes suelen ocultar su acDvidadmodificando la configuración de lasherramientasdedetección.Un sistema de monitoreo de integridadpodránoDficarloscambiostanprontocomoseproduzcan.

Accesosnoautorizadosaservidores

Cambiosnoautorizados

LogInspecDonpermiteidenDficareventosseseguridadimportantesennuestroservidores

Copyright2016TrendMicroInc.21

https://www.hackread.com/locky-ransomware-infecting-healthcare-industry/ https://www.helpnetsecurity.com/2016/09/22/ransomware-rising/

IndustriasafectadasporRansomware

Copyright2016TrendMicroInc.22

Noestádemásrecordar:

EducaciónyConcien4zaciónMejoresPrác4cas,Simulación,Entrenamientos

EstrategiatecnológicarobustacontraelRansomwareImplementarmejoresprác4casparalatecnologíatradicionalycomplementarcontecnologíaespecializada

NoPagarelRescatePagaralientaalosatacantesynogaran4zaladevolucióndelosdatos

MantenerlosparchesaldíaMinimizarlaposibilidaddeexploitdevulnerabilidades

ClasificaciónyControldelaInformaciónLimitarelaccesoalainformacióncrí4ca

RespaldosyRestauraciónAutomá4co:3copias,2formatos,1ubicacióndiferente

Copyright2015TrendMicroInc.23

ConDnuidaddelNegocio…LomásimportanteeslaconDnuidaddelnegocio

•  ¿Somoscapacesdesostenerlaoperacióndelnegociosinopodemosaccederaciertossistemas?¿PorcuántoDempo?

•  ¿Algunavezlohemosprobado?•  ¿Conocemoslasuperficiedeataquedenuestrosservidores?•  ¿Puedoconocerencualquiermomentolasvulnerabilidadesde

misservidores?NOSEAOTRAVICTIMA

Copyright2015TrendMicroInc.24

¡Gracias!