SlideShare uma empresa Scribd logo

Ransomware: integridade, confidencialidade, disponibilidade e ransomware

Marcus Botacin
Marcus Botacin

Este documento discute a história e funcionamento de ransomware. Apresenta exemplos históricos como o primeiro ransomware de 1989 e como o malware evoluiu ao longo do tempo até chegar às tendências atuais. Demonstra um exemplo de ransomware chamado RansomExx e discute lições aprendidas e estratégias de proteção, enfatizando a importância dos backups.

Tecnologia
1 de 47
Baixar para ler offline
Integridade, confidencialidade, disponibilidade, ransomware André Grégio Federal University of Paraná, BR @abedgregio 1 Marcus Botacin Federal University of Paraná, BR @MarcusBotacin 1 GTER 49 | GTS 35 30 DE NOVEMBRO A 1º DE DEZEMBRO DE 2020 EDIÇÃO ON-LINE SECurity & Reverse Engineering Team (SECRET) SECRET.INF.UFPR.BR
Agenda 2 ● Motivação ● Histórico de ransomware ● Funcionamento com hands-on ○ Demonstração de exemplares ● Lições aprendidas Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Introdução 3 Motivar é preciso...
RANSOMWARE - Definição 4 ● Código malicioso que viola a disponibilidade de arquivos ou dispositivos de suas vítimas (cifrando-os) e demanda quantia para decifragem. ● Tipos principais: ○ CRYPTO ransomware: criptografa arquivos/diretórios selecionados do usuário comprometido e solicita um resgate, geralmente em criptomoeda, para liberação de chave ○ LOCKER ransomware: tranca o usuário para fora de seu dispositivo, impedindo que a vítima o utilize. O resgate demandado é para liberar o acesso ao dispositivo. https://www.kaspersky.com/resource-center/threats/ransomware-examples Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RANSOMWARE - Comportamento padrão 5 1. ENTREGA a. Phishing (links, anexos), Ads (inclusive em mídias sociais e grandes sites), Pay-per-Install, exploração de vulnerabilidades (Java, Windows, etc.) para se propagar 2. EXECUÇÃO a. Procura arquivos de determinados tipos, nomes de diretórios, drives de rede b. Acessa e criptografa os objetos-alvo e exibe o aviso de resgate 3. PAGAMENTO a. Em geral, em USD ou BTC, com destino a uma ou mais carteiras virtuais b. Não é garantido que a chave (ou outro meio de decifragem) seja fornecida 4. DECIFRAGEM a. Se houver, pode ser feita por um binário a ser baixado após confirmação de pagamento https://ieeexplore.ieee.org/abstract/document/8418627 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RANSOMWARE - Estatísticas 6 https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-nov-2020.pdf https://www.researchgate.net/publication/330734778_Understanding_t he_Evolution_of_Ransomware_Paradigm_Shifts_in_Attack_Structures Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Malware x Não-Malware 7 ● Tudo é código, a diferença é a intenção… ● Detecção acadêmica vs. Detecção industrial ○ Teoria é offline ○ Prática é inexistente ● Há décadas sabemos os princípios básicos ○ Proteger a integridade, disponibilidade, confidencialidade ○ Realizar prevenção, detecção, reação ○ Implantar políticas, manter tudo atualizado, compartimentalizar Por que isso não tem funcionado? Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
De Onde Viemos 8 Evolução de ransomware ao longo do tempo
Linha do Tempo 9 https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
A primeira vez a gente nunca esquece... 10 Autor: Dr. Popps, biólogo Nome, Ano: PC Cyborg, 1989 Vetor: (!e-)mail + disquete com questionário sobre AIDS Comportamento: 1. 2 arquivos (1 questionário, 1 instalador) 2. Infecta C: e sequestra AUTOEXEC.BAT 3. Implementa contador de reboot (90x) 4. Criptografa simetricamente os nomes de todos os arquivos do drive a. Alteração na extensão impedia a execução dos arquivos FONTES: https://www.sdxcentral.com/security/definitions/case-study-aids-trojan-ransomware/ https://www.vice.com/en/article/nzpwe7/the-worlds-first-ransomware-came-on-a-floppy-disk-in-19 89 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
A primeira vez a gente nunca esquece... 11 Resultado: 1. ~20k pessoas infectadas) 2. Envio de $ para Caixa Postal no Panamá 3. Pânico fez com que usuários e organiza- ções médicas/de pesquisa apagassem HDs 4. Malware como peça de influência 5. Autor indiciado à prisão/processado, mas considerado não-julgável... 6. Jim Bates criou “vacinas” AIDSOUT e CLEARAIDS em 1990 (VirusBulletin) FONTES: https://en.wikipedia.org/wiki/AIDS_(Trojan_horse) https://www.virusbulletin.com/uploads/pdf/magazine/1992/199201.pdf Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Saudades do AIDS Trojan! 12 Análises do Trojan explicitaram falhas e melhoraram a área (de ransomware): ● IEEE S&P 1996, Yong e Yung implementaram um vírus com criptografia de chaves públicas ● Cryptovirology: extortion-based security threats and countermeasures ● https://ieeexplore.ieee.org/document/502676 https://www.virusbulletin.com/uploads/pdf/magazine/1990/199002.pdf Lições Aprendidas ● Desenvolvedores de malware: ○ Não usar criptografia simétrica! ● Usuários/organizações: ○ Backup é importante! Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Dados sobre Ransomware 13 Kharraz et al. Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks. DIMVA, 2015. http://www.eurecom.fr/en/publication/4548/download/rs-publi-4548.pdf Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
CryptoLocker e CryptoLocker 2.0 14 Vetor de entrada: e-mail Comportamento: 1. Usuário executa o artefato 2. Processo inicia varredura em busca de drives de rede 3. Arquivos e diretórios são renomeados e cifrados Diferenças: 1. De C++ foi para C# (grupos diferentes? Imitação?) 2. 2.0 criptografa mais tipos de arquivo (música, imagem, vídeo) 3. Inflação (USD 300 para 500) FONTE: https://www.knowbe4.com/cryptolocker-2 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Linha do Tempo 15 https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Cryptowall 16 Vetor de entrada: phishing, exploit kits, propagandas maliciosas Comportamento: 1. Injeta código no Explorer.exea e SVCHost.exeb para manutenção a. Instala malware, remove shadow copies, desabilita serviços, inicializa um novo svchost... b. Comunica com a “base” via rede, cifra arquivos, remove o malware após serviço feito! 2. Persiste via Registro e Startup FONTE: https://www.varonis.com/blog/cryptowall/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Ransomware as a Service 17 ● Similar aos malware kits em usabilidade ○ Qualquer pessoa pode extorquir outras! ● Criador é comissionado com o resgate ○ Provê o código, leva 5-30% FONTE: https://www.businessinsider.com/ransomware-as-a-service-is-the-next-big-cyber-crime-2015-12 https://www.researchgate.net/publication/330734778_Understanding_the_Evolution _of_Ransomware_Paradigm_Shifts_in_Attack_Structures Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Tipo de chantagem: doxing (autores prometeram disponibilizar publicamente os arquivos das vítimas caso o resgate não fosse pago...) Vem pro time, fera! Chimera 18 https://blog.malwarebytes.com/threat-analysis/2015/12/inside-chimera-ransomware-the-first-doxingware-in-wild/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Linha do Tempo 19 https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Tendências de 2020 20 https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Brasil, Novembro de 2020 21
22
23
24
25
Links 26 ● https://thehack.com.br/stj-e-vitima-de-ransomware-e-tem-seus-dados-e-os-backups-criptografa dos/ ● https://www.uol.com.br/tilt/noticias/redacao/2020/11/07/ransomexx-virus-que-atingiu-stj-tam bem-atacou-tj-pe-e-outros-paises.htm ● https://olhardigital.com.br/fique_seguro/noticia/ransomware-que-afeta-stj-ja-atingiu-empresas- e-governos-fora-do-brasil/109866 ● https://tecnoblog.net/381722/stj-confirma-ataque-de-ransomware-e-recebe-ajuda-da-microsoft/ ● https://minutodaseguranca.blog.br/possiveis-falhas-no-caso-do-ransomware-do-stj/ ● https://olhardigital.com.br/fique_seguro/noticia/stj-se-restabelece-apos-ransomware-mas-pf-in vestiga-copia-de-dados/110209 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Modus Operandi 27 Simplicidade acima de tudo...
Modus Operandi ● Obtivemos dois exemplares: ○ Notepad.exe (https://corvus.inf.ufpr.br/reports/12243/) ■ MD5: 80cfb7904e934182d512daa4fe0abbfb ■ SHA1: 9df15f471083698b818575c381e49c914dee69de ○ Arquivo ELF (https://corvus.inf.ufpr.br/reports/12244/) ■ MD5: aa1ddf0c8312349be614ff43e80a262f ■ SHA1: 91ad089f5259845141dfb10145271553aa711a2b ● O PE é um loader ○ Detalhes a seguir… ● O ransomware é o arquivo ELF, com execução “manual” ○ Ao se passar um diretório como argumento, a cifragem acontece... ○ Mesmo artefato (RansomEXX) esteve envolvido nos ataques ao TXDoT em maio/2020! ■ https://www.bleepingcomputer.com/news/security/new-ransom-x-ransomware-used-in-texas-txdot-cyberattack/ 28 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Demonstração & Análise 29 Proof of Concept or...
RansomExx 30 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx 31 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx 32 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx 33 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx 34 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx 35 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx 36 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx 37 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx 38 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Para Onde Vamos? 39 Educação ainda é a chave...
PoS Ransomware 40 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
● Não negligencie seu BACKUP! Como se proteger 41 https://cartilha.cert.br/ransomware/ransomware-folheto.pdf Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
● Não negligencie seu BACKUP! ● Além disso: ○ Evite acesso desmedido a links e anexos em e-mails ○ Preste atenção em malvertising e use um bloqueador de ads ○ Desabilite funcionalidades desnecessárias/extras em leitores de PDF, como execução de JavaScript ○ Mantenha SO, browsers, aplicativos, plug-ins, serviços e mecanismos de segurança atualizados ○ Desenvolva políticas de segurança e as implemente na prática ○ Verifique o uso das políticas e o nível de alerta de seus usuários Como se proteger 42 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Considerações Finais 43 Backups everywhere
● Faça BACKUP! ● Certifique-se de que seu BACKUP restaure ● Proteja seu BACKUP que está na rede ● Tenha um BACKUP offline das coisas mais importantes do seu BACKUP… Como se proteger 44 https://cartilha.cert.br/fasciculos/backup/fasciculo-backup.pdf Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Lembrem-se: 45 https://www.trinustech.com/wp-content/uploads/2019/03/In-case-of-cyber-attack-please-break-glass-and-pull-cables.jpg Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Conclusion ● Leituras ○ “The other guys: automated analysis of marginalized malware”: https://secret.inf.ufpr.br/papers/behemot.pdf ○ “A Ransomware in a Brazilian Justice Court”: https://secret.inf.ufpr.br/2020/11/06/a-ransomware-in-a-brazilian-justice-court/ ○ “Brazilian Justice Court Ransomware: Another piece in the Puzzle”: https://secret.inf.ufpr.br/2020/11/17/brazilian-justice-court-ransomware-another-piece- in-the-puzzle/ ○ “An Obfuscation Tour”: https://secret.inf.ufpr.br/2020/05/08/an-obfuscation-tour/ ○ “Ransomware in Times of Coronavirus”: https://secret.inf.ufpr.br/2020/05/08/ransomware-in-times-of-coronavirus/ 46 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
47 Integridade, confidencialidade, disponibilidade, ransomware Contato: {gregio, mfbotacin}@inf.ufpr.br Website: secret.inf.ufpr.br GTER 49 | GTS 35 30 DE NOVEMBRO A 1º DE DEZEMBRO DE 2020 EDIÇÃO ON-LINE André Grégio Federal University of Paraná, BR @abedgregio Marcus Botacin Federal University of Paraná, BR @MarcusBotacin SECurity & Reverse Engineering Team (SECRET) SECRET.INF.UFPR.BR

Recomendados

Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesBruno Alexandre
 
Pentest
Pentest Pentest
Pentest Rodrigo Piovesana
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internetelliando dias
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Paulo Renato Lopes Seixas
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?iBLISS Segurança & Inteligência
 
Backtrack: Solucão open source para pen test
Backtrack: Solucão open source para pen testBacktrack: Solucão open source para pen test
Backtrack: Solucão open source para pen testPaulo Renato Lopes Seixas
 

Recomendados

Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesBruno Alexandre
 
Pentest
Pentest Pentest
Pentest Rodrigo Piovesana
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internetelliando dias
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Paulo Renato Lopes Seixas
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?iBLISS Segurança & Inteligência
 
Backtrack: Solucão open source para pen test
Backtrack: Solucão open source para pen testBacktrack: Solucão open source para pen test
Backtrack: Solucão open source para pen testPaulo Renato Lopes Seixas
 
Segurança no Android
Segurança no AndroidSegurança no Android
Segurança no AndroidEuler Neto
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SIFelipe Perin
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetAndre Henrique
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livreLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesPHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesRafael Jaques
 
Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)pedrobezerra
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãLuiz Arthur
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Aula de seguranca (1)
Aula de seguranca (1)Aula de seguranca (1)
Aula de seguranca (1)Rogério Sampaio
 
Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Alcyon Ferreira de Souza Junior, MSc
 
Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Bravo Tecnologia
 
Aula import seg
Aula import segAula import seg
Aula import segJorgewfAlves
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de MalwareRenato Basante Borbolla
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digitalMarcelo Lau
 
Auditoria em Mainframe. (Eugênio Fernandes)
Auditoria em Mainframe. (Eugênio Fernandes)Auditoria em Mainframe. (Eugênio Fernandes)
Auditoria em Mainframe. (Eugênio Fernandes)Joao Galdino Mello de Souza
 
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...Alcyon Ferreira de Souza Junior, MSc
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoPalestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoAs Zone
 
Facsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoFacsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoThiago Dieb
 
Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Marcus Botacin
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareMarcus Botacin
 

Mais conteúdo relacionado

Semelhante a Ransomware: integridade, confidencialidade, disponibilidade e ransomware

Segurança no Android
Segurança no AndroidSegurança no Android
Segurança no AndroidEuler Neto
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SIFelipe Perin
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetAndre Henrique
 
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesPHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesRafael Jaques
 
Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)pedrobezerra
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãLuiz Arthur
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Bravo Tecnologia
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digitalMarcelo Lau
 
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...Alcyon Ferreira de Souza Junior, MSc
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoPalestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoAs Zone
 
Facsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoFacsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoThiago Dieb
 

Semelhante a Ransomware: integridade, confidencialidade, disponibilidade e ransomware (20)

Segurança no Android
Segurança no AndroidSegurança no Android
Segurança no Android
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SI
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na Internet
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livre
 
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesPHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
 
Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Aula de seguranca (1)
Aula de seguranca (1)Aula de seguranca (1)
Aula de seguranca (1)
 
Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016
 
Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Ransomware como proteger sua empresa
Ransomware como proteger sua empresa
 
Aula import seg
Aula import segAula import seg
Aula import seg
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de Malware
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digital
 
Auditoria em Mainframe. (Eugênio Fernandes)
Auditoria em Mainframe. (Eugênio Fernandes)Auditoria em Mainframe. (Eugênio Fernandes)
Auditoria em Mainframe. (Eugênio Fernandes)
 
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
 
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoPalestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
 
Facsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoFacsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um pouco
 

Mais de Marcus Botacin

Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Marcus Botacin
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareMarcus Botacin
 
GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?Marcus Botacin
 
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About AntivirusesMarcus Botacin
 
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change![Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!Marcus Botacin
 
Hardware-accelerated security monitoring
Hardware-accelerated security monitoringHardware-accelerated security monitoring
Hardware-accelerated security monitoringMarcus Botacin
 
How do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guideHow do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guideMarcus Botacin
 
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Marcus Botacin
 
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários ExecutáveisExtraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários ExecutáveisMarcus Botacin
 
On the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel ApproachesOn the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel ApproachesMarcus Botacin
 
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...Marcus Botacin
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareMarcus Botacin
 
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Marcus Botacin
 
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...Marcus Botacin
 
On the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software RepositoriesOn the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software RepositoriesMarcus Botacin
 
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...Marcus Botacin
 
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?Marcus Botacin
 
Towards Malware Decompilation and Reassembly
Towards Malware Decompilation and ReassemblyTowards Malware Decompilation and Reassembly
Towards Malware Decompilation and ReassemblyMarcus Botacin
 
Reverse Engineering Course
Reverse Engineering CourseReverse Engineering Course
Reverse Engineering CourseMarcus Botacin
 

Mais de Marcus Botacin (20)

Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?
 
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
 
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change![Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
 
Hardware-accelerated security monitoring
Hardware-accelerated security monitoringHardware-accelerated security monitoring
Hardware-accelerated security monitoring
 
How do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guideHow do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guide
 
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
 
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários ExecutáveisExtraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
 
On the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel ApproachesOn the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel Approaches
 
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
 
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
 
On the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software RepositoriesOn the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software Repositories
 
UMLsec
UMLsecUMLsec
UMLsec
 
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
 
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
 
Towards Malware Decompilation and Reassembly
Towards Malware Decompilation and ReassemblyTowards Malware Decompilation and Reassembly
Towards Malware Decompilation and Reassembly
 
Reverse Engineering Course
Reverse Engineering CourseReverse Engineering Course
Reverse Engineering Course
 

Ransomware: integridade, confidencialidade, disponibilidade e ransomware

  • 1. Integridade, confidencialidade, disponibilidade, ransomware André Grégio Federal University of Paraná, BR @abedgregio 1 Marcus Botacin Federal University of Paraná, BR @MarcusBotacin 1 GTER 49 | GTS 35 30 DE NOVEMBRO A 1º DE DEZEMBRO DE 2020 EDIÇÃO ON-LINE SECurity & Reverse Engineering Team (SECRET) SECRET.INF.UFPR.BR
  • 2. Agenda 2 ● Motivação ● Histórico de ransomware ● Funcionamento com hands-on ○ Demonstração de exemplares ● Lições aprendidas Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 4. RANSOMWARE - Definição 4 ● Código malicioso que viola a disponibilidade de arquivos ou dispositivos de suas vítimas (cifrando-os) e demanda quantia para decifragem. ● Tipos principais: ○ CRYPTO ransomware: criptografa arquivos/diretórios selecionados do usuário comprometido e solicita um resgate, geralmente em criptomoeda, para liberação de chave ○ LOCKER ransomware: tranca o usuário para fora de seu dispositivo, impedindo que a vítima o utilize. O resgate demandado é para liberar o acesso ao dispositivo. https://www.kaspersky.com/resource-center/threats/ransomware-examples Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 5. RANSOMWARE - Comportamento padrão 5 1. ENTREGA a. Phishing (links, anexos), Ads (inclusive em mídias sociais e grandes sites), Pay-per-Install, exploração de vulnerabilidades (Java, Windows, etc.) para se propagar 2. EXECUÇÃO a. Procura arquivos de determinados tipos, nomes de diretórios, drives de rede b. Acessa e criptografa os objetos-alvo e exibe o aviso de resgate 3. PAGAMENTO a. Em geral, em USD ou BTC, com destino a uma ou mais carteiras virtuais b. Não é garantido que a chave (ou outro meio de decifragem) seja fornecida 4. DECIFRAGEM a. Se houver, pode ser feita por um binário a ser baixado após confirmação de pagamento https://ieeexplore.ieee.org/abstract/document/8418627 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 7. Malware x Não-Malware 7 ● Tudo é código, a diferença é a intenção… ● Detecção acadêmica vs. Detecção industrial ○ Teoria é offline ○ Prática é inexistente ● Há décadas sabemos os princípios básicos ○ Proteger a integridade, disponibilidade, confidencialidade ○ Realizar prevenção, detecção, reação ○ Implantar políticas, manter tudo atualizado, compartimentalizar Por que isso não tem funcionado? Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 8. De Onde Viemos 8 Evolução de ransomware ao longo do tempo
  • 9. Linha do Tempo 9 https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 10. A primeira vez a gente nunca esquece... 10 Autor: Dr. Popps, biólogo Nome, Ano: PC Cyborg, 1989 Vetor: (!e-)mail + disquete com questionário sobre AIDS Comportamento: 1. 2 arquivos (1 questionário, 1 instalador) 2. Infecta C: e sequestra AUTOEXEC.BAT 3. Implementa contador de reboot (90x) 4. Criptografa simetricamente os nomes de todos os arquivos do drive a. Alteração na extensão impedia a execução dos arquivos FONTES: https://www.sdxcentral.com/security/definitions/case-study-aids-trojan-ransomware/ https://www.vice.com/en/article/nzpwe7/the-worlds-first-ransomware-came-on-a-floppy-disk-in-19 89 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 11. A primeira vez a gente nunca esquece... 11 Resultado: 1. ~20k pessoas infectadas) 2. Envio de $ para Caixa Postal no Panamá 3. Pânico fez com que usuários e organiza- ções médicas/de pesquisa apagassem HDs 4. Malware como peça de influência 5. Autor indiciado à prisão/processado, mas considerado não-julgável... 6. Jim Bates criou “vacinas” AIDSOUT e CLEARAIDS em 1990 (VirusBulletin) FONTES: https://en.wikipedia.org/wiki/AIDS_(Trojan_horse) https://www.virusbulletin.com/uploads/pdf/magazine/1992/199201.pdf Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 12. Saudades do AIDS Trojan! 12 Análises do Trojan explicitaram falhas e melhoraram a área (de ransomware): ● IEEE S&P 1996, Yong e Yung implementaram um vírus com criptografia de chaves públicas ● Cryptovirology: extortion-based security threats and countermeasures ● https://ieeexplore.ieee.org/document/502676 https://www.virusbulletin.com/uploads/pdf/magazine/1990/199002.pdf Lições Aprendidas ● Desenvolvedores de malware: ○ Não usar criptografia simétrica! ● Usuários/organizações: ○ Backup é importante! Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 13. Dados sobre Ransomware 13 Kharraz et al. Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks. DIMVA, 2015. http://www.eurecom.fr/en/publication/4548/download/rs-publi-4548.pdf Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 14. CryptoLocker e CryptoLocker 2.0 14 Vetor de entrada: e-mail Comportamento: 1. Usuário executa o artefato 2. Processo inicia varredura em busca de drives de rede 3. Arquivos e diretórios são renomeados e cifrados Diferenças: 1. De C++ foi para C# (grupos diferentes? Imitação?) 2. 2.0 criptografa mais tipos de arquivo (música, imagem, vídeo) 3. Inflação (USD 300 para 500) FONTE: https://www.knowbe4.com/cryptolocker-2 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 15. Linha do Tempo 15 https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 16. Cryptowall 16 Vetor de entrada: phishing, exploit kits, propagandas maliciosas Comportamento: 1. Injeta código no Explorer.exea e SVCHost.exeb para manutenção a. Instala malware, remove shadow copies, desabilita serviços, inicializa um novo svchost... b. Comunica com a “base” via rede, cifra arquivos, remove o malware após serviço feito! 2. Persiste via Registro e Startup FONTE: https://www.varonis.com/blog/cryptowall/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 17. Ransomware as a Service 17 ● Similar aos malware kits em usabilidade ○ Qualquer pessoa pode extorquir outras! ● Criador é comissionado com o resgate ○ Provê o código, leva 5-30% FONTE: https://www.businessinsider.com/ransomware-as-a-service-is-the-next-big-cyber-crime-2015-12 https://www.researchgate.net/publication/330734778_Understanding_the_Evolution _of_Ransomware_Paradigm_Shifts_in_Attack_Structures Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 18. Tipo de chantagem: doxing (autores prometeram disponibilizar publicamente os arquivos das vítimas caso o resgate não fosse pago...) Vem pro time, fera! Chimera 18 https://blog.malwarebytes.com/threat-analysis/2015/12/inside-chimera-ransomware-the-first-doxingware-in-wild/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 19. Linha do Tempo 19 https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 20. Tendências de 2020 20 https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 22. 22
  • 23. 23
  • 24. 24
  • 25. 25
  • 26. Links 26 ● https://thehack.com.br/stj-e-vitima-de-ransomware-e-tem-seus-dados-e-os-backups-criptografa dos/ ● https://www.uol.com.br/tilt/noticias/redacao/2020/11/07/ransomexx-virus-que-atingiu-stj-tam bem-atacou-tj-pe-e-outros-paises.htm ● https://olhardigital.com.br/fique_seguro/noticia/ransomware-que-afeta-stj-ja-atingiu-empresas- e-governos-fora-do-brasil/109866 ● https://tecnoblog.net/381722/stj-confirma-ataque-de-ransomware-e-recebe-ajuda-da-microsoft/ ● https://minutodaseguranca.blog.br/possiveis-falhas-no-caso-do-ransomware-do-stj/ ● https://olhardigital.com.br/fique_seguro/noticia/stj-se-restabelece-apos-ransomware-mas-pf-in vestiga-copia-de-dados/110209 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 28. Modus Operandi ● Obtivemos dois exemplares: ○ Notepad.exe (https://corvus.inf.ufpr.br/reports/12243/) ■ MD5: 80cfb7904e934182d512daa4fe0abbfb ■ SHA1: 9df15f471083698b818575c381e49c914dee69de ○ Arquivo ELF (https://corvus.inf.ufpr.br/reports/12244/) ■ MD5: aa1ddf0c8312349be614ff43e80a262f ■ SHA1: 91ad089f5259845141dfb10145271553aa711a2b ● O PE é um loader ○ Detalhes a seguir… ● O ransomware é o arquivo ELF, com execução “manual” ○ Ao se passar um diretório como argumento, a cifragem acontece... ○ Mesmo artefato (RansomEXX) esteve envolvido nos ataques ao TXDoT em maio/2020! ■ https://www.bleepingcomputer.com/news/security/new-ransom-x-ransomware-used-in-texas-txdot-cyberattack/ 28 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 30. RansomExx 30 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 31. RansomExx 31 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 32. RansomExx 32 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 33. RansomExx 33 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 34. RansomExx 34 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 35. RansomExx 35 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 36. RansomExx 36 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 37. RansomExx 37 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 38. RansomExx 38 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 39. Para Onde Vamos? 39 Educação ainda é a chave...
  • 40. PoS Ransomware 40 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 41. ● Não negligencie seu BACKUP! Como se proteger 41 https://cartilha.cert.br/ransomware/ransomware-folheto.pdf Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 42. ● Não negligencie seu BACKUP! ● Além disso: ○ Evite acesso desmedido a links e anexos em e-mails ○ Preste atenção em malvertising e use um bloqueador de ads ○ Desabilite funcionalidades desnecessárias/extras em leitores de PDF, como execução de JavaScript ○ Mantenha SO, browsers, aplicativos, plug-ins, serviços e mecanismos de segurança atualizados ○ Desenvolva políticas de segurança e as implemente na prática ○ Verifique o uso das políticas e o nível de alerta de seus usuários Como se proteger 42 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 44. ● Faça BACKUP! ● Certifique-se de que seu BACKUP restaure ● Proteja seu BACKUP que está na rede ● Tenha um BACKUP offline das coisas mais importantes do seu BACKUP… Como se proteger 44 https://cartilha.cert.br/fasciculos/backup/fasciculo-backup.pdf Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 46. Conclusion ● Leituras ○ “The other guys: automated analysis of marginalized malware”: https://secret.inf.ufpr.br/papers/behemot.pdf ○ “A Ransomware in a Brazilian Justice Court”: https://secret.inf.ufpr.br/2020/11/06/a-ransomware-in-a-brazilian-justice-court/ ○ “Brazilian Justice Court Ransomware: Another piece in the Puzzle”: https://secret.inf.ufpr.br/2020/11/17/brazilian-justice-court-ransomware-another-piece- in-the-puzzle/ ○ “An Obfuscation Tour”: https://secret.inf.ufpr.br/2020/05/08/an-obfuscation-tour/ ○ “Ransomware in Times of Coronavirus”: https://secret.inf.ufpr.br/2020/05/08/ransomware-in-times-of-coronavirus/ 46 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 47. 47 Integridade, confidencialidade, disponibilidade, ransomware Contato: {gregio, mfbotacin}@inf.ufpr.br Website: secret.inf.ufpr.br GTER 49 | GTS 35 30 DE NOVEMBRO A 1º DE DEZEMBRO DE 2020 EDIÇÃO ON-LINE André Grégio Federal University of Paraná, BR @abedgregio Marcus Botacin Federal University of Paraná, BR @MarcusBotacin SECurity & Reverse Engineering Team (SECRET) SECRET.INF.UFPR.BR