Ransomware - Eicar.com
Transcription
Ransomware - Eicar.com
07.06.2016 Ransomware Systeme, Daten und Dienste als Geisel Ralf Benzmüller | Leiter G DATA SecurityLabs Agenda 1 Vorstellung 1 Ransomware Spielarten 1 Schutz vor Ransomware EICAR WG-2 | Bonn 7.6.2016 | Ransomware 1 07.06.2016 G Data Kompakt Gegründet 1985 Unternehmenssitz und Firmenzentrale in Bochum >420 Mitarbeiter Offices in Österreich, Belgien, China, Frankreich, Italien, Japan, Niederlande, Polen, Schweiz, Spanien und USA Partner in >90 Ländern Produkte weltweit erhältlich EICAR WG-2 | Bonn 7.6.2016 | Ransomware Bedrohungslage > SchutzKonzept EICAR WG-2 | Bonn 7.6.2016 | Ransomware 2 07.06.2016 >30 Jahre IT-Security Know-how Founded in Bochum, Germany by K. Figge 1985 1987 Launch of world’s first Antivirus software Establishment of first foreign subsidiary 1995 2000 Conversion into a stock cooperation Launch of business products 2001 2002 Development of Double Scan Technology Entering the Asian market 2003 2005 First in world to integrate Cloud Security technology Implementation of Fingerprinting Technology 2008 2011 Launch of Mobile Security products Integration of BankGuard 2012 2013 Launch of CloseGap Technology USB KeyBoard Guard 2014 2015 SecureChat for MobileCom EICAR WG-2 | Bonn 7.6.2016 | Ransomware G DATA | Advanced Analytics Malware Analyse Incident Response Audits Training Security Consulting www.gdata-advancedanalytics.de Awareness Threat Modelling Endpoint Security Kompartmentalisierung Sichere Kommunikation EICAR WG-2 | Bonn 7.6.2016 | Ransomware 3 07.06.2016 G DATA Partnertag 2016 | Malware Trends 2016 Ransomware – was ist das? Engl. „ransom“ = Lösegeld Rechner, Daten und Dienste als Geisel Geschäftsmodell Erpressung Verteilte Überlastangriffe (DDoS) Scareware & Fake AV Ransomware Typen von Ransomware: System-Blocker Verschlüsselungs-Malware (Daten-Blocker) Verschlüsselung der Webseite Selten: Software-Locker Selten: Internet-Zugangsblocker EICAR WG-2 | Bonn 7.6.2016 | Ransomware 4 07.06.2016 Systemblocker EICAR WG-2 | Bonn 7.6.2016 | Ransomware Systemblocker Verbreitung per Drive-by-Infektion Sperrbildschirm je nach besuchter Webseite unterschiedlich Sperrbildschirm verhindert Zugang zu Rechner und Daten Aktualisierung in kurzen Intervallen Selbstschutz per Watchdog-Prozess, u.v.m. 2010 bis 2012 weit verbreitet. Heute noch aktiv EICAR WG-2 | Bonn 7.6.2016 | Ransomware 5 07.06.2016 Systemblocker umgehen Manchmal: Abgesicherter Modus Clean Boot EICAR WG-2 | Bonn 7.6.2016 | Ransomware Ransomware - Evolution 1989 PC Cyborg Corporation, Joseph L. Popp Diskette mit AIDS Information auf WHO-Konferenz verteilt Verschlüsselt nach 90 Neustarts Dateien auf der Festplatte Verlangt $189 Lösegeld. Zu senden an Postfach in Panama Zeigt EULA EICAR WG-2 | Bonn 7.6.2016 | Ransomware 6 07.06.2016 Quelle: Virus Bulletin Jan 1990 EICAR WG-2 | Bonn 7.6.2016 | Ransomware 2005 Gpcoder Erste moderne Crypto-Malware Verschlüsselt Dateien mit bestimmter Dateiendung Macht sich persistent Löscht sich nach getaner Arbeit Ransom-Note als Textdatei („ATTENTION!!!.txt“) Freikauf per E-Mail Verschlüsselung verbessert sich im Laufe der Jahre .asc .db .db1 .db2 .dbf .doc .htm .html .jpg .pgp .rar .rtf .txt .xls .zip EICAR WG-2 | Bonn 7.6.2016 | Ransomware 7 07.06.2016 Verschlüsselung Gpcoder 2006 2007 2008 32-bit Schlüssel Nutzt symmetrische Standardverfahren wie 3DES und AES Verschlüsselung der Dateien mit RC4 Gespeichert in Registry Ein Schlüssel für alle RC4-Schlüssel werden mit RSA-1024 Public Key verschlüsselt Original-Schlüssel werden gelöscht EICAR WG-2 | Bonn 7.6.2016 | Ransomware Verschlüsselung Pseudo Symmetrisch Asymmetrisch XOR Custom-Verfahren Wenig Ressourcen Standardverfahren wie z.B. AES, 3DES, IDEA Wenig Ressourcen Public und Private Key z.B. RSA, ECC Lässt sich üblicherweise rückgängig machen Angriffe auf Schlüssel oder Implementierung Langsam Entschlüsselung nur bei Implementierungsfehler EICAR WG-2 | Bonn 7.6.2016 | Ransomware 8 07.06.2016 Cryptolocker EICAR WG-2 | Bonn 7.6.2016 | Ransomware Ransomware – Evolution < 2014 AIDS Trojaner Saddam Hussein … Gpcoder CryZip Archiveus Reveton Urausy Kovter Nymaim Harasom CryptoLocker Browlock 2014 Linkup Cryptowall CryptoDefense CTB-Locker/ Citroni TorrentLocker Synolocker ZeroLocker CoinVault CryptoGraphicLocker Cryakl BandarChor Isda KeyBTC KeyHolder VirLock 2015 ThreatFinder TeslaCrypt Cryptolocker2015 CryptVault Pacman Pclock VaultCrypt CryptoFortress ToxCrypt Crypt0L0cker Locker Troldesh BitCryptor Encryptor RaaS CryptoApp HiddenTear ORX-Locker Fonco CryptInfinite Unix.Ransomcrypt Linux.Encoder Mabouia Ungluk Power Worm Radamant DMA-Locker Gomasom XRTN Chimera 2016 Ransom32 Locky CryptoJoker Magic Cerber UmbreCrypt NanoLocker Vipasana Virus Encoder Xorist LeChiffre 7ev3n Hi Buddy Samsam PayCrypt JobCryptor Magic PadCrypt Petya Coverton KimcilWare Nemucod Maktub Rokku CryptoHasYou Ginx KeRanger Manamecrypt Jigsaw AutoLocky 8lock8 Brazilian Bucbi Crybola Crypren CryptoHost CryptoMix CryptXXX Fury GhostCrypt GNL Locker iLock KryptoLocker Lortok Mischa Rector Scraper Shujin Skidlocker BadBlock Zcryptor BlackShades ODCODC EICAR WG-2 | Bonn 7.6.2016 | Ransomware 9 07.06.2016 Open Source Ransomware Open Source Ransomware Schwache Verschlüsselung Sehr beliebt mit vielen Varianten EICAR WG-2 | Bonn 7.6.2016 | Ransomware Open Source Ransomware EDA 2 Hidden Tear Brazilian 8lock8 JobCrypter Magic Blocatto KryptoLocker MMLocker Fakben MireWare Skidlocker GhostCrypt Sanction SNSLocker Hi Buddy! Strictor Surprise EICAR WG-2 | Bonn 7.6.2016 | Ransomware 10 07.06.2016 Ein Beispiel: Petya EICAR WG-2 | Bonn 7.6.2016 | Ransomware Quelle: tgsoft.it 11 07.06.2016 Operation Global III Sucht und mountet Laufwerke Verschlüsselte Dateien erhalten Dateiinfektor Verschlüsselte Dateien enthalten Schlüssel Sperrt Zugang per Lockscreen nach der Verschlüsselung G DATA Partnertag 2016 | Malware Trends 2016 Chimera EICAR WG-2 | Bonn 7.6.2016 | Ransomware 12 07.06.2016 Synolocker EICAR WG-2 | Bonn 7.6.2016 | Ransomware Copycats Pclock als Cryptolocker EICAR WG-2 | Bonn 7.6.2016 | Ransomware 13 07.06.2016 Copycats Torrentlocker als Cryptolocker CryptoFortress als Torrentlocker EICAR WG-2 | Bonn 7.6.2016 | Ransomware Ransomware kompakt Familie Archiveus Jahr Besonderheit 2006 Bezahlen per Bestellung im Pharma-Shop Linkup Synolocker VaultCrypt 2014 Blockiert den Internetzugang 2014 Nutzt Sicherheitslücke in NAS Firmware 2014 Nutzt gpg.exe Encryptor RaaS Locker Chimera PowerWorm Unix R-ware OS X R-ware 2015 2015 2015 2015 2015 2016 Ransomware as a Service per Webseite Autor entschuldigt sich und gibt Schlüssel frei Hybrid. Droht damit Daten zu veröffentlichen In PowerShell geschrieben Unix Ransomcrypt, Linux Encoder KeRanger, Mabouia G DATA Partnertag 2016 | Malware Trends 2016 14 07.06.2016 Ransomware kompakt Familie PadCrypt Ransom32 CTB-Locker Coverton Jahr 2016 2016 2016 2016 Besonderheit Bietet Live-Chat Support Erste Ransomware in JavaScript => Multi-Plattform 5 Dateien zur Probe entschlüsseln Integrierter Decrypter funktioniert nicht Jigsaw Cerber Kimcil LeChiffre AutoLocky 2016 2016 2016 2016 2016 Löscht Dateien Erste Ransomware, die spricht Greift Magento Webshops an Wird in gezielten Angriffen manuell gestartet Locky-Mimikri. RAR-Archiv mit einfachem Passwort G DATA Partnertag 2016 | Malware Trends 2016 Ransomware international EICAR WG-2 | Bonn 7.6.2016 | Ransomware 15 07.06.2016 TeslaCrypt 4 Versionen seit 2015 Kontinuierlich verbesserte Verschlüsselung (AES + ECHD + SHA1) V4: keine typische Dateiendung Infektion per E-Mail-Anhang oder Drive-By-Infektion Weit verbreitetes Framework Project closed. Generalschlüssel veröffentlicht EICAR WG-2 | Bonn 7.6.2016 | Ransomware CryptXXX Verdrängt TeslaCrypt V2: nach der Verschlüsselung wird das System gesperrt EICAR WG-2 | Bonn 7.6.2016 | Ransomware 16 07.06.2016 Aus CryptXXX wird UltraCrypter TeslaCrypt-Revival? G DATA Partnertag 2016 | Malware Trends 2016 Ransomware – Zielgruppen Privatnutzer Cryptolocker Cryptowall TorrentLocker TeslaCrypt Locky Bilder, Audio, Video Dokumente, Office Dateien Emails & Datenbanken Spiele & Spielstände Sourcecode & Webseiten Archive, Backups & Images Virtuelle Maschinen Ausführbare Dateien * .1cd .3ds .3fr .3gp .7z .a3d .abf .accdb .ach .ai .aiff .arc .arj .arw .asf .asm .asp .aspx .asx .avi .back .backup .bad .bak .bay .bin .blend .bmp .c .c4d .cam .cd .cdr .cdx .cer .cf .cineon .cpp .cpt .cr2 .crt .crw .css .csv .ctl .dat .db .db3 .dbf .dcr .dds .der .des .dicom .dit .dng .doc .docm .docx .dotm .dotx .dsc .dtd .dwg .dxf .dxg .edb .eml .eps .erf .ert .exif .fbf .fbk .fbw .fbx .fdb .fil .fla .flac .flv .flvv .fmb .fmt .fmx .gbk .gho .gif .groups .gzip .hdd .hdr .hpp .html .iif .img .indd .iso .iv2i .java .jfif .jpe .jpeg .jpg .js .kdc .key .keystore .kwm .ldf .log .lst .lua .m2ts .m2v .m3d .m4v .max .mdb .mdf .mef .mkv .mov .mp3 .mp4 .mpeg .mpg .mrw .msg .nbd .nd .ndf .nef .nrw .nvram .nx1 .oab .obj .odb .odc .odm .odp .ods .odt .ogg .old .openexr .ora .orf .ost .p12 .p7b .p7c .pab .pas .pbm .pck .pct .pdb .pdd .pdf .pef .pem .perl .pfx .pgm .php .pic .pif .pkb .pks .pl .plb .pls .png .pot .potm .potx .ppam .ppm .pps .ppsm .ppsx .ppt .pptm .pptx .prf .prn .psb .psd .pst .ptx .pwm .pz3 .qba .qba.tlg .qbb .qbm .qbr .qbw .qbw.tlg .qbx .qby .qcow .qcow2 .qed .qfx .qic .r3d .raf .rar .raw .rdf .rdo .rep .rex .rtf .rvt .rw2 .rwl .rx2 .safe .sav .sbs .sldasm .sldm .sldprt .sldx .sn1 .sna .spf .spr .sql .sqlite .sr2 .srf .srt .srw .sti .stm .svg .swf .sxi .tbl .tc .tex .tga .thm .thmx .tiff .tis .tlg .txt .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .vsdx .wav .wb2 .wma .wmv .wpd .wps .x3f .xbm .xlam .xlk .xlr .xls .xlsb .xlsm .xlsx .xltm .xml .yaml .yuv .zip EICAR WG-2 | Bonn 7.6.2016 | Ransomware 17 07.06.2016 Ransomware – Zielgruppen Firmen und Organisationen Netzwerkfreigaben Behörden Unternehmen Krankenhäuser … Laufwerke mounten Fernwartungszugriff Webserver FileServer EICAR WG-2 | Bonn 7.6.2016 | Ransomware Wurden Sie Opfer von Ransomware? 32% 68% Nein Ja EICAR WG-2 | Bonn 7.6.2016 | Ransomware 18 07.06.2016 Betroffene Unternehmensgrößen 200 160 140 120 149 100 80 62 74 84 60 40 20 32 1 bis 49 50 bis 249 13 54 44 28 27 0 Anzahl der Mitarbeiter*innen 250 bis 999 1.000 bis 10.000 Ja, die Institution war betroffen 10.000+ Nein, die Institution war nicht betroffen EICAR WG-2 | Bonn 7.6.2016 | Ransomware Einfallstore Im Prinzip alle üblichen Verbreitungswege für Malware 180 160 Anzahl der Nennungen Anzahl der Institutionen 180 140 Datei-Download-Bundle USB-Device Per Botnetz Remote-Desktop Exploit Smartphones 120 100 80 156 60 40 20 36 3 14 Hacking Sonstige 0 E-Mail Anhang Drive-by Angriff EICAR WG-2 | Bonn 7.6.2016 | Ransomware 19 07.06.2016 Typische Aktionen Phone-Home zum Control-Server Infection-ID Download & Execute Persistenz Autostart MBR Vorbereitung & Action Schutzfunktionen deaktivieren %TEMP%, %APPDATA%, %LOCALAPP… Dateiendungen Datei-Recovery verhindern Sicheres Löschen Schattenkopien löschen Tarnung Prozesse von Tools beenden Löscht sich nach getaner Arbeit Schadfunktionen Dateiinfektor Spyware EICAR WG-2 | Bonn 7.6.2016 | Ransomware Zerolocker Bitcoin only Preise steigen Garantie G DATA Partnertag 2016 | Malware Trends 2016 20 07.06.2016 Bezahlen? BitCoin Amazon Gutscheine Geschenkkarten Paysafecard, ukash, … EICAR WG-2 | Bonn 7.6.2016 | Ransomware Ransomware – Quo vadis? Anonyme Bezahlverfahren sind die Basis für Ransomware Das Geschäftsmodell Erpressung ist etabliert Es werden noch etliche Erpressungsszenarien ausprobiert. Neue Technologien bieten reichlich Möglichkeiten: Smart TV, Smart Home, Smart Watch, Wearables, … Smart Cars, Connected Driving, … Smart Factory, Smart City, Smart Meter, … Cloud-Dienste, Webapplikationen, … Connected Sex-Toys? EICAR WG-2 | Bonn 7.6.2016 | Ransomware 21 07.06.2016 Was tun gegen Ransomware? Was tun gegen Ransomware? Vorbeugen Backups Patch Management Endpunkte absichern Systeme härten Überblick über Infrastruktur Schutztechnologie Prozesse Notfallplan Backups ausprobieren Awareness Vom Problem zum Schutz Virenschutz mit dynamischer Erkennung Firewall/ IDS/ IPS Webfilter Anti-Spam Exploit-Schutz EICAR WG-2 | Bonn 7.6.2016 | Ransomware 22 07.06.2016 Fazit Ransomware basiert auf anonymen Bezahlverfahren Ransomware ist ein vitales, neues CyberCrime-Geschäftsfeld, das sich etabliert hat Unternehmen und Organisationen rücken verstärkt in den Fokus Ransomware ist Indikator für die Effektivität der Abwehrmaßnahmen EICAR WG-2 | Bonn 7.6.2016 | Ransomware Vielen Dank! Ralf Benzmüller Leiter G DATA SecurityLabs E-Mail: [email protected] Twitter: @rb_gdata EICAR WG-2 | Bonn 7.6.2016 | Ransomware 23 07.06.2016 Abgewehrte Exploit-Angriffe EICAR WG-2 | Bonn 7.6.2016 | Ransomware 24