Ransomware - Eicar.com

Transcription

07.06.2016
Ransomware
Systeme, Daten und Dienste als Geisel
Ralf Benzmüller | Leiter G DATA SecurityLabs
Agenda
1
Vorstellung
1
Ransomware Spielarten
1
Schutz vor Ransomware
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
1
07.06.2016
G Data Kompakt
 Gegründet 1985
 Unternehmenssitz und Firmenzentrale
in Bochum
 >420 Mitarbeiter
 Offices in Österreich, Belgien, China,
Frankreich, Italien, Japan, Niederlande,
Polen, Schweiz, Spanien und USA
 Partner in >90 Ländern
 Produkte weltweit erhältlich
Bedrohungslage > SchutzKonzept
2
07.06.2016
>30 Jahre IT-Security Know-how
Founded in Bochum,
Germany by K. Figge
1985
1987
Launch of world’s first
Antivirus software
Establishment of first
foreign subsidiary
1995
2000
Conversion into a
stock cooperation
Launch of business
products
2001
2002
Development of Double
Scan Technology
Entering the Asian
market
2003
2005
First in world to integrate
Cloud Security technology
Implementation of Fingerprinting Technology
2008
2011
Launch of Mobile
Security products
Integration of
BankGuard
2012
2013
Launch of CloseGap
Technology
USB KeyBoard
Guard
2014
2015
SecureChat
for MobileCom
G DATA | Advanced Analytics
Malware Analyse
Incident Response
Audits
Training
Security Consulting
www.gdata-advancedanalytics.de
Awareness
Threat Modelling
Endpoint Security
Kompartmentalisierung
Sichere Kommunikation
3
07.06.2016
G DATA Partnertag 2016 | Malware Trends 2016
Ransomware – was ist das?
 Engl. „ransom“ = Lösegeld
 Rechner, Daten und Dienste als Geisel
 Geschäftsmodell Erpressung
 Verteilte Überlastangriffe (DDoS)
 Scareware & Fake AV
 Ransomware
 Typen von Ransomware:





System-Blocker
Verschlüsselungs-Malware (Daten-Blocker)
Verschlüsselung der Webseite
Selten: Software-Locker
Selten: Internet-Zugangsblocker
4
07.06.2016
Systemblocker
Systemblocker
 Verbreitung per Drive-by-Infektion
 Sperrbildschirm je nach besuchter Webseite unterschiedlich
 Sperrbildschirm verhindert Zugang zu Rechner und Daten
 Aktualisierung in kurzen Intervallen
 Selbstschutz per Watchdog-Prozess, u.v.m.
 2010 bis 2012 weit verbreitet. Heute noch aktiv
5
07.06.2016
Systemblocker umgehen
 Manchmal: Abgesicherter Modus
 Clean Boot
Ransomware - Evolution
 1989 PC Cyborg Corporation,
Joseph L. Popp
 Diskette mit AIDS Information auf
WHO-Konferenz verteilt
 Verschlüsselt nach 90 Neustarts
Dateien auf der Festplatte
 Verlangt $189 Lösegeld.
Zu senden an Postfach in Panama
 Zeigt EULA
6
07.06.2016
Quelle: Virus Bulletin Jan 1990
2005 Gpcoder
 Erste moderne Crypto-Malware
 Verschlüsselt Dateien mit bestimmter Dateiendung
 Macht sich persistent
 Löscht sich nach getaner Arbeit
 Ransom-Note als Textdatei („ATTENTION!!!.txt“)
 Freikauf per E-Mail
 Verschlüsselung verbessert sich im Laufe der Jahre
.asc
.db
.db1
.db2
.dbf
.doc
.htm
.html
.jpg
.pgp
.rar
.rtf
.txt
.xls
.zip
7
07.06.2016
Verschlüsselung Gpcoder
2006
2007
2008
 32-bit Schlüssel
 Nutzt symmetrische
Standardverfahren wie
3DES und AES
 Verschlüsselung der
Dateien mit RC4
 Gespeichert in Registry
 Ein Schlüssel für alle
 RC4-Schlüssel werden
mit RSA-1024 Public
Key verschlüsselt
 Original-Schlüssel
werden gelöscht
Verschlüsselung
Pseudo
Symmetrisch
Asymmetrisch
 XOR
Custom-Verfahren
 Wenig Ressourcen
 Standardverfahren wie
z.B. AES, 3DES, IDEA
 Wenig Ressourcen
 Public und Private Key
z.B. RSA, ECC
 Lässt sich üblicherweise
rückgängig machen
 Angriffe auf Schlüssel
oder Implementierung
 Langsam
 Entschlüsselung nur bei
Implementierungsfehler
8
07.06.2016
Cryptolocker
Ransomware – Evolution
< 2014
AIDS Trojaner
Saddam Hussein
…
Gpcoder
CryZip
Archiveus
Reveton
Urausy
Kovter
Nymaim
Harasom
CryptoLocker
Browlock
2014
Linkup
Cryptowall
CryptoDefense
CTB-Locker/ Citroni
TorrentLocker
Synolocker
ZeroLocker
CoinVault
CryptoGraphicLocker
Cryakl
BandarChor
Isda
KeyBTC
KeyHolder
VirLock
2015
ThreatFinder
TeslaCrypt
Cryptolocker2015
CryptVault
Pacman
Pclock
VaultCrypt
CryptoFortress
ToxCrypt
Crypt0L0cker
Locker
Troldesh
BitCryptor
Encryptor RaaS
CryptoApp
HiddenTear
ORX-Locker
Fonco
CryptInfinite
Unix.Ransomcrypt
Linux.Encoder
Mabouia
Ungluk
Power Worm
Radamant
DMA-Locker
Gomasom
XRTN
Chimera
2016
Ransom32
Locky
CryptoJoker
Magic
Cerber
UmbreCrypt
NanoLocker
Vipasana
Virus Encoder
Xorist
LeChiffre
7ev3n
Hi Buddy
Samsam
PayCrypt
JobCryptor
Magic
PadCrypt
Petya
Coverton
KimcilWare
Nemucod
Maktub
Rokku
CryptoHasYou
Ginx
KeRanger
Manamecrypt
Jigsaw
AutoLocky
8lock8
Brazilian
Bucbi
Crybola
Crypren
CryptoHost
CryptoMix
CryptXXX
Fury
GhostCrypt
GNL Locker
iLock
KryptoLocker
Lortok
Mischa
Rector
Scraper
Shujin
Skidlocker
BadBlock
Zcryptor
BlackShades
ODCODC
9
07.06.2016
Open Source Ransomware
 Open Source Ransomware
 Schwache Verschlüsselung
 Sehr beliebt mit vielen Varianten
Open Source Ransomware
EDA 2
Hidden Tear
 Brazilian
 8lock8
 JobCrypter
 Magic
 Blocatto
 KryptoLocker
 MMLocker
 Fakben
 MireWare
 Skidlocker
 GhostCrypt
 Sanction
 SNSLocker
 Hi Buddy!
 Strictor
 Surprise
10
07.06.2016
Ein Beispiel: Petya
Quelle: tgsoft.it
11
07.06.2016
Operation Global III
 Sucht und mountet Laufwerke
 Verschlüsselte Dateien
erhalten Dateiinfektor
 Verschlüsselte Dateien
enthalten Schlüssel
 Sperrt Zugang per Lockscreen
nach der Verschlüsselung
Chimera
12
07.06.2016
Synolocker
Copycats
 Pclock als Cryptolocker
13
07.06.2016
Copycats
 Torrentlocker als Cryptolocker
 CryptoFortress als Torrentlocker
Ransomware kompakt
Familie
Archiveus
Jahr Besonderheit
2006 Bezahlen per Bestellung im Pharma-Shop
Linkup
Synolocker
VaultCrypt
2014 Blockiert den Internetzugang
2014 Nutzt Sicherheitslücke in NAS Firmware
2014 Nutzt gpg.exe
Encryptor RaaS
Locker
Chimera
PowerWorm
Unix R-ware
OS X R-ware
2015
2015
2015
2015
2015
2016
Ransomware as a Service per Webseite
Autor entschuldigt sich und gibt Schlüssel frei
Hybrid. Droht damit Daten zu veröffentlichen
In PowerShell geschrieben
Unix Ransomcrypt, Linux Encoder
KeRanger, Mabouia
14
07.06.2016
Ransomware kompakt
Familie
PadCrypt
Ransom32
CTB-Locker
Coverton
Jahr
2016
2016
2016
2016
Besonderheit
Bietet Live-Chat Support
Erste Ransomware in JavaScript => Multi-Plattform
5 Dateien zur Probe entschlüsseln
Integrierter Decrypter funktioniert nicht
Jigsaw
Cerber
Kimcil
LeChiffre
AutoLocky
2016
2016
2016
2016
2016
Löscht Dateien
Erste Ransomware, die spricht
Greift Magento Webshops an
Wird in gezielten Angriffen manuell gestartet
Locky-Mimikri. RAR-Archiv mit einfachem Passwort
Ransomware international
15
07.06.2016
TeslaCrypt
 4 Versionen seit 2015
 Kontinuierlich verbesserte Verschlüsselung (AES + ECHD + SHA1)
 V4: keine typische Dateiendung
 Infektion per E-Mail-Anhang oder Drive-By-Infektion
 Weit verbreitetes Framework
 Project closed. Generalschlüssel veröffentlicht
CryptXXX
 Verdrängt TeslaCrypt
 V2: nach der Verschlüsselung
wird das System gesperrt
16
07.06.2016
Aus CryptXXX wird UltraCrypter
 TeslaCrypt-Revival?
Ransomware – Zielgruppen
 Privatnutzer





Cryptolocker
Cryptowall
TorrentLocker
TeslaCrypt
Locky
 Bilder, Audio, Video
 Dokumente, Office Dateien
 Emails & Datenbanken
 Spiele & Spielstände
 Sourcecode & Webseiten
 Archive, Backups & Images
 Virtuelle Maschinen
 Ausführbare Dateien
 *
.1cd .3ds .3fr .3gp .7z .a3d .abf
.accdb .ach .ai .aiff .arc .arj .arw
.asf .asm .asp .aspx .asx .avi
.back .backup .bad .bak .bay .bin
.blend .bmp .c .c4d .cam .cd .cdr
.cdx .cer .cf .cineon .cpp .cpt .cr2
.crt .crw .css .csv .ctl .dat .db .db3
.dbf .dcr .dds .der .des .dicom .dit
.dng .doc .docm .docx .dotm .dotx
.dsc .dtd .dwg .dxf .dxg .edb .eml
.eps .erf .ert .exif .fbf .fbk .fbw .fbx
.fdb .fil .fla .flac .flv .flvv .fmb .fmt
.fmx .gbk .gho .gif .groups .gzip
.hdd .hdr .hpp .html .iif .img .indd
.iso .iv2i .java .jfif .jpe .jpeg .jpg .js
.kdc .key .keystore .kwm .ldf .log
.lst .lua .m2ts .m2v .m3d .m4v
.max .mdb .mdf .mef .mkv .mov
.mp3 .mp4 .mpeg .mpg .mrw
.msg .nbd .nd .ndf .nef .nrw
.nvram .nx1 .oab .obj .odb .odc
.odm .odp .ods .odt .ogg .old
.openexr .ora .orf .ost .p12 .p7b
.p7c .pab .pas .pbm .pck .pct .pdb
.pdd .pdf .pef .pem .perl .pfx .pgm
.php .pic .pif .pkb .pks .pl .plb .pls
.png .pot .potm .potx .ppam .ppm
.pps .ppsm .ppsx .ppt .pptm .pptx
.prf .prn .psb .psd .pst .ptx .pwm
.pz3 .qba .qba.tlg .qbb .qbm .qbr
.qbw .qbw.tlg .qbx .qby .qcow
.qcow2 .qed .qfx .qic .r3d .raf .rar
.raw .rdf .rdo .rep .rex .rtf .rvt .rw2
.rwl .rx2 .safe .sav .sbs .sldasm
.sldm .sldprt .sldx .sn1 .sna .spf
.spr .sql .sqlite .sr2 .srf .srt .srw
.sti .stm .svg .swf .sxi .tbl .tc .tex
.tga .thm .thmx .tiff .tis .tlg .txt
.vbox .vdi .vhd .vhdx .vmdk .vmsd
.vmx .vmxf .vob .vsdx .wav .wb2
.wma .wmv .wpd .wps .x3f .xbm
.xlam .xlk .xlr .xls .xlsb .xlsm .xlsx
.xltm .xml .yaml .yuv .zip
17
07.06.2016
Ransomware – Zielgruppen
 Firmen und Organisationen




 Netzwerkfreigaben
Behörden
Unternehmen
Krankenhäuser
…
 Laufwerke mounten
 Fernwartungszugriff
 Webserver
 FileServer
Wurden Sie Opfer von
Ransomware?
32%
68%
Nein
Ja
18
07.06.2016
Betroffene
Unternehmensgrößen
200
160
140
120
149
100
80
62
74
84
60
40
20
32
1 bis 49
50 bis 249
13
54
44
28
27
0
Anzahl der Mitarbeiter*innen
250 bis 999
1.000 bis 10.000
Ja, die Institution war betroffen
10.000+
Nein, die Institution war nicht betroffen
Einfallstore
Im Prinzip alle üblichen Verbreitungswege für Malware
180
160
Anzahl der Nennungen
Anzahl der Institutionen
180
140
Datei-Download-Bundle
USB-Device
Per Botnetz
Remote-Desktop Exploit
Smartphones
120
100
80
156
60
40
20
36
3
14
Hacking
Sonstige
0
E-Mail Anhang
Drive-by Angriff
19
07.06.2016
Typische Aktionen
 Phone-Home zum Control-Server
 Infection-ID
 Download & Execute
 Persistenz
 Autostart
 MBR
 Vorbereitung & Action
 Schutzfunktionen deaktivieren
 %TEMP%, %APPDATA%, %LOCALAPP…
 Dateiendungen
 Datei-Recovery verhindern
 Sicheres Löschen
 Schattenkopien löschen
 Tarnung
 Prozesse von Tools beenden
 Löscht sich nach getaner Arbeit
 Schadfunktionen
 Dateiinfektor
 Spyware
Zerolocker
 Bitcoin only
 Preise steigen
 Garantie
20
07.06.2016
Bezahlen?
 BitCoin
 Amazon Gutscheine
 Geschenkkarten
 Paysafecard, ukash, …
Ransomware – Quo vadis?
 Anonyme Bezahlverfahren sind die Basis für Ransomware
 Das Geschäftsmodell Erpressung ist etabliert
 Es werden noch etliche Erpressungsszenarien ausprobiert.
 Neue Technologien bieten reichlich Möglichkeiten:





Smart TV, Smart Home, Smart Watch, Wearables, …
Smart Cars, Connected Driving, …
Smart Factory, Smart City, Smart Meter, …
Cloud-Dienste, Webapplikationen, …
Connected Sex-Toys?
21
07.06.2016
Was tun gegen Ransomware?
Was tun gegen Ransomware?
 Vorbeugen





Backups
Patch Management
Endpunkte absichern
Systeme härten
Überblick über Infrastruktur
 Schutztechnologie
 Prozesse
 Notfallplan
 Backups ausprobieren
 Awareness
 Vom Problem zum Schutz
 Virenschutz mit dynamischer
Erkennung
 Firewall/ IDS/ IPS
 Webfilter
 Anti-Spam
 Exploit-Schutz
22
07.06.2016
Fazit
 Ransomware basiert auf anonymen Bezahlverfahren
 Ransomware ist ein vitales, neues CyberCrime-Geschäftsfeld, das sich
etabliert hat
 Unternehmen und Organisationen rücken verstärkt in den Fokus
 Ransomware ist Indikator für die Effektivität der Abwehrmaßnahmen
Vielen Dank!
Ralf Benzmüller
Leiter G DATA SecurityLabs
E-Mail: [email protected]
Twitter: @rb_gdata
23
07.06.2016
Abgewehrte Exploit-Angriffe
24

Ransomware - Eicar.com

Transcription

Similar documents

die dunkle Seite der Macht

Wie kommt Schadcode auf Firmenrechner?

CIPRO PUBLICATION

Orphanet Report Series

Malware Report H1 2011

G Data Whitepaper 6/2011 Gefährliche E