Palestra "SCADA Ransomware"

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
SCADA Ransomware
Marcelo Branquinho
Maio de 2016

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Quemsomos
Missão
 Fornecer produtos eserviçosdequalidade para a
Segurança das Infraestruturas Críticas
Visão
 Ser referênciade excelênciaemserviçosde Segurança
de redes deautomação eSCADA
• Escritórios
 Riode Janeiro
 São Paulo
 Salvador
• Representantes comerciais em todas as
regiões do Brasil
Rio de Janeiro
São Paulo Salvador

LíderemsegurançaSCADAnoBrasil
FornecemossoluçõesdesegurançadainformaçãopararedesindustriaisdasprincipaisinfraestruturascríticasBrasileiras.

Sistemas SCADA
• Os sistemas SCADA são
utilizados em processos
industriais, como na produção
de aço, produção de energia
(convencional e nuclear),
distribuição de energia,
metalomecânica, indústria
química, estações de
tratamento de águas, etc.
SCADA = Supervisory Control And Data Acquisition

Ameaçasmudaram:Ataquesavançados
Data Data
Internet
Encryption Targeted
OBJETIVO: Lucratividade, Sabotagem
e conflitos entre nações
• Organizados
• Ataques direcionados
• Financiado – Industria foco
crescente
OBJETIVO: Notoriedade
• Uma pessoa, grupos pequenos
• Conhecimento e Recursos
limitados
• Ataques básicos
Internet
?Passado
Presente

SCADA/ICS – Atempestade perfeitapara ciberataques
Migração para protocolo IP,
Mais uso do Windows
Maior Conectividade
(Interna, Externa, VPN, Orgs,
Fabricantes)
Tradicionalmente
baixa maturidade de
segurança
cibernética
Patches não frequentes de
Sistemas operacionais
Número e sofisticação dos
ataques específicos em
redes de automação
crescentes

Desafio – Aumentar a visibilidade
Visibilidade de aplicações e detecção de anomalias em SCADA
Visibilidade granular no protocolo industrial, aplicativo, usuário e nível de conteúdo
7 | ©2015, Palo Alto Networks
Rede de Controle
Funções de Protocolos
Industraiis
(ex: Leituras vs escritas
Identificar
aplicações
customizadas
Uso não apropriado
Garantir conteudo
é transferido somente dentro
do perimetro Industrial
Potenciais ameaças
Auditoria/Normas e
Conformidade

Desafio – Prevenção de Sabotagens e Desastres
Visibilidade e Controle contra operações industriais não autorizadas

Desafio – Malware Moderno impactando produção industrial
Controle do desconhecido e ameaças avançadas persistentes
9 | ©2015, Palo Alto Networks
Repository for Industrial Security Incidents (RISI)
Banco de dados de incidentes que afetam o controle de processos e sistemas SCADA
Segundo os dados do RISI, o incidente mais
comum em redes de automação é o ataque por
malware, que responde por 68% dos incidentes
externos em sistemas de controle, seguidos por
incidentes de sabotagem e penetração em
sistemas, com 13%, e ataques de negação de
serviço, com 6%
.Fonte: RISI
Vulnerabilidades mais exploradas por
atacantes de redes industriais
ICS-CERT Sumário dos ataques por indústria

Desafio – Redes conectadas não mais isoladas
Necessidade de maior segmentação e controle de acesso
Acesso externo granular e segmentação interna
Necessário enforcement do “role-based access control” e conceito “zero-trust
Prevenção de incidentes cibernéticos.
Industrial
Control
System
Business
Network
Partners
Other
Plants/Facilities
3rd Party
Support

O cenário é ruim, mas dá pra piorar??

Infelizmente SIM.....
Referência: Symantec

Os atacantes descobriram
como ganhar MUITO
dinheiro com ataques a
infraestruturas críticas!
2016 – O Ano do
Ransomware SCADA

Ransomware – A próxima ameaça às ICs

Hospital infectado por Ransomware
• Nesse caso, o departamento
tinha backups de seus
sistemas e se recusaram a
pagar o resgate aos
criminosos.
• Por volta de 05 de fevereiro de 2016 , os sistemas pertencente ao
Hospital Central Presbiteriano de Hollywood foram infectados com o
Locky ransomware.
• Depois de dez dias, o governo pagou aos atacantes 40 Bitcoins ($
17.000) para libertar os sistemas.
• Naquela mesma semana, cinco computadores pertencentes ao
Departamento Regional de saúde de Los Angeles foram infectados
com uma variante ransomware.

O que é Ransomware?
• Ransom = Resgate
• Ransomware é um tipo de
Malware que impede o
acesso do usuário aos seus
dados.
• O usuário só recuperará o
acesso aos dados mediante
o pagamento de um resgate
(Ransom)
• Afetam diretamente a
disponibilidade de sistemas
ao bloquear o acesso a
informações vitais para seu
funcionamento.

Video – Ataque por Ransomware no Brasil

A Evolução do Ransomware

Tipos de Ransomware
• Ransomware de Bloqueio
Transmitido através de Engenharia Social e campanhas de phising,
principalmente.
 Restringe o acesso do usuário aos sistemas infectados.
 Certas vezes, o Ransomware de bloqueio pode ser removido facilmente,
restaurando o sistema para um ponto de restauração pré-definido ou
implementando uma ferramenta de remoção comercial.
 2016 promete ser o ano em que o Ransomware de bloqueio
ressurgirá, porque ele pode infectar tecnologias emergentes, como
telefones celulares, sistemas de controle (SCADA) e sistemas
conectados à "internet das coisas“.

Smartphone com Ransomware de bloqueio

Tipos de Ransomware
• Ransomware de Criptografia
 Mais robusto, o Ransomware de Criptografia restringe a ação do usuário,
negando o acesso à interface do usuário
Segmenta os dados e sistemas de arquivos do dispositivo.
Permite que os usuários acessem a internet para comprar moedas
criptografadas no mercado virtual (algumas variantes de Ransomware de
Criptografia fornecem aos usuários um site para comprar Bitcoins e artigos
explicando a moeda).
Determinam uma chave assimétrica única para cada sistema infectado e
limpam a chave de sessão da memória quando tiverem terminado a infecção.

Exemplos de Ransomware de Criptografia
• Locky:
 Em 5 de Fevereiro, 2016, sistemas médicos pertencentes a Hollywood
Presbyterian Medical Center foram infectados com o ransomware Locky. Dados de
saúde permaneceram inalterados, mas,computadores essenciais para o trabalho de
laboratório, tomografia computadorizada, sistemas de sala de emergência, e
farmácia foram infectados.
Os cibercriminosos exigiram um resgate de 9000 Bitcoins ($ 3,6 milhões).
 Porém, depois de quase duas semanas negociando, o presidente do Centro
Médico pagou um resgate de 40 Bitcoins ($ 17.000) para desbloquear suas
máquinas.
• A Forbes afirma que o Locky ransomware infecta aproximadamente 90.000
sistemas por dia e que normalmente pede aos usuários de 0,5-1 Bitcoin (~ $ 420)
para desbloquear seus sistemas.
• O Locky criptografa arquivos com chaves RSA-2048 e AES 128 cifras.

Tela de bloqueio - Locky

• CryptoLocker:
Cryptolocker é um trojan que começou infectando sistemas Windows
através da botnet Gameover Zeus, criptografando os dados do host com
chave publica de criptografia RSA .
Cryptolocker instala no perfil do usuário uma pasta e adiciona uma chave
no registro do sistema para que seja executada na inicialização.
Em seguida, ele se conecta a um dos seus servidores C2 e gera um par de
chaves RSA de 2048 bits , armazenando a chave privada nesse servidor.
Daí, ele envia a chave pública de volta para a máquina da vítima .
O trojan criptografa documentos, imagens e arquivos nos discos rígidos
locais e unidades de rede mapeadas com a chave pública.

Tela de bloqueio - CryptoLocker

• CryptoWall / CryptoDefense/ CryptoBit:
Esse Ransomware é responsavel por excluir cópias de sombra de arquivos
para, em seguida ganhar privilégios de usuário para tentar se conectar aos
proxies I2P a fim de encontrar um servidor de comando e controle ao vivo
usando um valor de hash que é criado, tomando um numero que é
aleatoriamente gerado seguido por um valor de identificação único.
O servidor responde com uma chave pública única e fornece notas de resgate.
Depois disso, a historia se repete ...
As notas são colocadas em todos os diretórios onde os arquivos vítima são
criptografadas e, em seguida, o Internet Explorer é iniciado com uma página do
visor bilhete de resgate.

Tela de bloqueio - CryptoWall

Vetores de infecção
• Sistema de Distribuição de Trafego (TDS): redirecionam o tráfego da web
para um site de hospedagem infectado. Normalmente sites de conteúdo adulto,
serviços de streaming de vídeo ou sites de pirataria de mídia. Infecta a máquina
através do download do malware.
• Malverstiment: anúncio malicioso que pode redirecionar os usuários de um
site infectado. Pode parecer legítimo e até mesmo confiável.
• E-mails de Phishing: usam da ingenuidade de usuários, que são
culturalmente treinados para abrir e-mails e clicar em anexos e links.
• Downloaders: Malwares são entregues em sistemas através de estágios de
downloaders, para minimizar a probabilidade de detecção baseada em
assinaturas. Nesse contexto, criminosos pagam outros criminoso que já tem uma
máquina infectada com seus dados extraviados, ou com infecção previamente
acidental. Ele utiliza um malware na rede infectada e repassa o controle deste
ao downloader.

Vetores de infecção (cont.)
• AutoPropagação: Ocorre quando aplicações são baixadas a partir de uma loja
de aplicativos ou se espalham através de disparos de SMS em uma lista de
contatos a partir de uma vitima inicial.
• Ransomware as a Service (RaaS): esta é a forma de ransomware como um
serviço, por meio do qual script kiddies (criminosos amadores) podem usar o
ransomware desenvolvido por criminosos experientes para explorar as vítimas em
troca do pagamento de uma comissão (5-20% do valor do resgate).
• Engenharia Social e Sabotagem: malware é disseminado de forma intencional
por funcionários e colaboradores da empresa que tenham sido préviamente
subornados.

Vítimas do Ransomware
• Usuários comuns: usuários que são facilmente pressionados ou que não são
fluentes em soluções técnicas para Ransomware são os alvos mais viáveis.A
maioria dos usuários não faz consistentemente o backup de seus dados e nem
seguem procedimentos básicos de segurança cibernética para mitigar o impacto
de um ataque por Ransomware.
• Empresas: empresas são os principais alvos de Ransomware , porque os seus
sistemas são os mais propensos a abrigar bases de dados confidenciais valiosos,
documentos importantes e outras informações. Além disso, elas são as mais
prováveis para pagar o resgate, a fim de retomar rapidamente as operações .
• Polícia: Serviços de polícia e federais são muitas vezes alvo de ataques de
malware em resposta a seus esforços para investigar e prender criminosos
cibernéticos.

Vítimas do Ransomware (cont.)
• Hospitais e Serviços de emergência: nestes alvos a perda do sistema pode
custar vidas, e são um dos preferidos para atacantes via ransomware.
• Instituições de Ensino: faculdades e universidades são alvos interessantes pois
possuem fundos suficientes para pagar um resgate considerável.
• Instituições Financeiras: as instituições financeiras são o grande setor alvo de
ransomware, e já existem inúmeros casos de ataques documentados no mundo.
Infraestruturas críticas: a indisponibilidade de sistemas SCADA em
infraestruturas críticas pode levar a perdas inestimáveis, financeiras, humanas
e ambientais. Desta forma resgates na ordem de milhões de dólares são
cobrados de empresas que tem sua produção ou abastecimento paralisados.
Além disso as redes de automação não possuem a segurança mínima
necessária para se contrapor a este tipo de ataque, além de não ter equipes
adequadamente treinadas.

Sistemas Alvo
• Dispositivos Móveis: hoje quase toda a população mundial tem ao menos um tipo
de dispositivo móvel, vulneravel à ataques ransomware.
• Servidores: nele estão armazenados documentos de uma organização, bases de
dados, propriedade intelectual, arquivos pessoais, listas de clientes, planejamentos
de produção, dados de billing e outros recursos intangíveis. Apesar do valor destes
dados, as organizações falham regularmente para assegurar, atualizar e corrigir os
sistemas. Mesmo que a organização tenha um plano de recuperação de desastres,
a quantidade de tempo necessária para reverter para um sistema crítico pode ser
inaceitável.
• Dispositivos IoT: na internet das coisas, o cibercriminoso ransomware tem maior
poder sobre vítimas. Imagine um ransomware infectando um sistema de
temperatura digital de uma casa. Ou algo ainda mais impactante; um sistema de
controle central de um avião?
Sistema SCADA: sistemas de controle de infraestruturas críticas podem ser
facilmente paralisados no caso de um ataque por Ransomware em um vetor de
infecção de Worm com espalhamento automático.

A Economia do Ransomware
• Para que criminosos ransomware lucrem, eles devem confiar em explorar a
natureza humana, e não a sofisticação técnica. Os seres humanos tendem a pagar
pelo resgate para que seus sistemas voltem a operar o mais breve possível.
• O custo para os usuários depende diretamente do prejuízo que as empresas tem
com a indisponibilidade de seus sistemas. Quanto mais caro o prejuízo, mais alto o
valor do resgate.
• Os usuários individuais têm uma baixa capacidade de pagar, enquanto empresas
e infraestruturas críticas, por serem de maior porte, podem pagar resgates de
maior valor.
• Os atacantes são pagos geralmente em moedas da Deep Web, como o Bitcoin
ou o Darkcoin, que são moedas moedas criptografadas (Cryptocurrencies) e com
difícil rastreamento, mantendo o anonimato do atacante.
• Cryptocurrencies são tipicamente adquiridas através da Dark Web acessada
através do browser Tor.

O que fazer para evitar o Ransomware
• Ter um time de Segurança da Informação preparado: é responsabilidade da
equipe de segurança da informação garantir que todos os sistemas foram
atualizados e possuem soluções anti-malware instaladas.
• Treinamento e sensibilização: o pessoal da empresa precisa ser treinado para
reconhecer e evitar os vetores de ataque por Ransomware. Os seres humanos
são o elo mais fraco. Os funcionários devem ser treinados para reconhecer um
link ou anexo maliciosos.
• Políticas e Procedimentos: os usuários devem saber quais atividades são
permitidas na rede. Eles devem saber como reconhecer atividades suspeitas e
para quem elas devem ser relatadas.
Ter implementada uma estratégia de defesa em camadas: o modelo de
defesa de rede em camadas tem o objetivo de retardar o adversário e detectar
a sua presença em tempo para reagir à intrusão.

Implementar Defesa em Camadas
• Para a implementação do modelo de defesa em camadas são necessários
mecanismos de proteção e sistemas de detecção próprios para redes
industriais, além de um sistema de inteligência de segurança que seja capaz
de alertar e bloquear as ameaças em tempo real.

Metodologia ICS.SecurityFramework
DETECÇÃO, DEFESA E CONTROLE INTEGRADO DE AMEAÇAS
PARA SISTEMAS DE INFRAESTRUTURAS CRÍTICAS
ANSI/ISA.99
• Metodologia desenvolvida pela TI Safe para
organizar, executar e operar a segurança da
informação em sistemas industriais e
infraestruturas críticas:
• Implementa as boas práticas descritas no
CSMS (Cyber Security Management System) da
norma ANSI/ISA-99
• Acelera o processo de conformidade da
segurança cibernética e atende às
necessidades de T.I. e T.A. em um framework
único.
• Gerenciamento centralizado do
monitoramento, defesa e controle de ameaças.
•Garante a atualização das bases de
dados de assinaturas e vulnerabilidades
para todos os componentes de
segurança.
•Facilita a identificação de ameaças e
isolamento de incidentes.
•Produz trilha confiável para
rastreabilidade dos eventos.
•Fornece detalhados relatórios de
auditoria.

Módulos do ICS.SecurityFramework

E se o pior acontecer?
Quando a mitigação falhar, é importante para organizações e indivíduos
considerarem todas as possíveis respostas a um ataque Ransomware. São elas:
• Acionar o Time de Resposta a Incidentes: A equipe de segurança da informação
deve ter previamente planejado um procedimento a seguir em caso de um ataque
ransomware, durante sua avaliação de riscos. A equipe de resposta a incidentes deve
começar por notificar as autoridades e órgãos reguladores pois ataques Ransomware
são crimes prescritos em lei.
• Tentar recuperar os dados perdidos: Backup e recuperação do sistema são a
única solução para reverter ataques por ransomware. Ter backups atualizados é vital
em casos de perdas de dados críticos. Neste caso, bastará realizar um recover dos
sistemas e dados para voltar à atividade normal da empresa.
• Fazer nada: em casos onde o resgate supera o custo do sistema, a vítima pode
comprar um novo dispositivo e dispor do sistema infectado.

E se o pior acontecer? (cont.)
• Pagar o Resgate: alguns atacantes podem liberar o sistema após receber o
pagamento, porque fazer o contrário iria reduzir a probabilidade de que novas vítimas
venham a cair no golpe. Porém, infelizmente, não existe nenhuma garantia que os
atacantes ficariam com os dados após o resgate pago.
• Uma Solução Hibrida: inclui esforços simultâneos para pagar o resgate e tentar
restaurar os sistemas a partir de um backups confiáveis. Organizações optam por
esta estratégia quando o tempo de inatividade do sistema é ainda mais crítico que as
consequências do pagamento do resgate.

Um detalhe importante....
• Ransomwares modernos são capazes de procurar servidores e
aplicações de backup em execução na rede e criptografá-los
também...
• Nestes casos, a única solução possível será pagar o resgate.
• Pagar resgates pode ser fácil para instituições privadas, mas
empresas públicas não tem verba alocada para isto... Teriam que
licitar..

Conclusão
• O aumento da atividade hacker no Brasil e a evolução dos ataques
direcionados a redes de automação aumentou vertiginosamente no
ano de 2015.
• Somente durante este ano foi notada uma quantidade de incidentes
de segurança maior que a dos anos de 2008 a 2014 somados, o que
representa um crescimento alarmante.
• As infraestruturas críticas brasileiras devem despertar urgentemente
para este cenário e implementar controles de segurança que vão de
encontro ao cenário de ameaças que acabo de apresentar.
• Não há mais tempo a perder...é preciso implementar políticas e
soluções tecnológicas para defesa em camadas já!

Marcelo Branquinho
Marcelo.branquinho@tisafe.com

Palestra "SCADA Ransomware"

Mais conteúdo relacionado

Mais procurados

Semelhante a Palestra "SCADA Ransomware"

Mais de TI Safe

Palestra "SCADA Ransomware"