Informe ransomware

2015-2016
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Qu es el ransomware?

Ransom = Rescate
Ware = Software

2 2
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Historia del ransomware I

1989 - AIDS ransomware

Dr. Joseph Popp disea aplicacin sobre el virus del SIDA

Aplicacin de pago, pide renovacin licencia

Cuando el equipo es arrancado 90 veces Cifrado simtrico

3 3
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Historia del ransomware II

1996 Primera PoC de ransomware usando RSA

2006 Reaparicin usando RSA y claves de 660 bits

2011 Virus de la Polica

2013 Aparicin de CryptoLocker

4 4
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Tipos Ransomware

Locker (Virus Polica)

CriptoVirus

5 5
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Evolucin histrica

6 6
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Vctimas

Home users

Empresas

Instituciones pblicas

7 7
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Tendencias actuales

Windows
Teslacrypt

Locky

Torrentlocker

[]

OSX
KeRanger

Linux
Linux.Encoder

8 8
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Nuevas tendencias

Web Servers

Mviles

SmartWatch

TVs

[IoT]

9 9
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Locky

Malware diseado para robar datos

bancarios.

Las vctimas reciben un correo electrnico

que simula ser una factura o el envo de un
paquete con un albarn adjunto.

Los equipos se infectan al descargar el

archivo adjunto de Microsoft Word que
contiene macros.

Este malware cifra los archivos del

ordenador y exige un pago a quien quiera
recuperar el control del equipo infectado.

10 10
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Teslacrypt

Ransomware que se dirige a 185

extensiones de archivos relacionados
con 40 juegos diferentes, cifrando
dichos archivos.

Las ltimas versiones tambin infectan

equipos sin juegos instalados, buscando
extensiones tpicas de archivos Word o
pdf.

Este malware aprovecha una

vulnerabilidad de Adobe Reader para
infectar los equipos.

11 11
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Nuevas tendencias - Abril 2016

Petya
Tipo de ransomware que est empezando
a detectarse durante este mes.

Cifra la MFT y modifica el MBR.

Ya existe descifrador!

12 12
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Nuevas tendencias - Abril 2016

Campaa de Correos
Se recibe un email indicando que se intent
entregar un paquete sin xito. Se adjunta una url
donde acceder para ver los datos del envo, esta url
lleva una redireccin para la descarga del
ransomware.
Esta campaa utiliza una variante de torrentlocker
conocida como crypt0l0cker, se han detectado 7
oleadas hasta la fecha, reportndose 151 incidentes
en lo que va de 2016.

13 13
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Medidas preventivas
Mantener copias de seguridad peridicas de los datos importantes

Mantener el sistema actualizado con los ltimos parches de seguridad

Mantener un antivirus actualizado con las ltimas firmas de cdigo daino, as como
una correcta configuracin de los firewalls.

Disponer de sistemas antispam a nivel de correo electrnico

Establecer polticas seguridad en el sistema para impedir la ejecucin de ficheros

desde directorios comnmente utilizados por el ransomware

Bloquear el trfico relacionado con dominios y servidores C&C mediante un IDS/IPS

Establecer una defensa en profundidad empleando herramientas como EMET

No utilizar cuentas con privilegios de administrador.

14 14
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Deshabilitar JS en Acrobat Reader

15 15
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Deshabilitar Flash y PDF en Chrome

Chrome://plugins

16 16
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Desinstalar QuickTime
Sin soporte de Apple
2 vulnerabilidades crticas descubiertas 14/04/2016

17 17
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Medidas reactivas

Desconectar las unidades de red.

Comprobar si el proceso daino an sigue ejecutndose.

Finalizar la ejecucin del proceso daino.

Arrancar el equipo en Modo Seguro.

Realizar una copia de seguridad del equipo.

Comunicar el incidente de seguridad al equipo/persona

competente.

18 18
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Estadsticas 2015
Tipo N incidentes
Cryptolocker 93
Torrentlocker 89
Teslacrypt 73 Otros
Cryptolocker
17%
Cryptowall 109 21%
Otros 73

Cryptowall
25% Torrentlocker
20%

Teslacrypt
17%

19 19
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Estadsticas 2016
Tipo N incidentes
Locky 231
Teslacrypt 132
Torrentlocker* 151 Otros
Otros 37 7%

Torrentlocker Locky
27% 42%

* Incluye Crypt0l0cker Teslacrypt

24%

20 20
04/05/2016 www.ccn-cert.cni.es
 Informe de Ransomware 2015-2016 SIN CLASIFICAR

Solucin general?

21 21
04/05/2016 www.ccn-cert.cni.es