Access Denied –
someone cryptowalled my network!
© IKARUS Security Software GmbH
1
Basic Facts
Ransomware sperrt die befallenen Rechner (Lockerware) oder verschlüsselt
die Daten am Rechner (Cryptoware) und fordert zur Freigabe vom User ein
Lösegeld.
 Durchschnittlicher Lösegeld-Betrag: USD 300,- Gängige Zahlungsmethoden:
- Locker Ransomware: Voucher Codes (ukash usw.)
- Crypto Ransomware: Bitcoin (BTC)
 2015 gab es über 118.000 neue Ransom-Binaries pro Monat, davon:
- Locker: 37%
- Crypto: 63%
© IKARUS Security Software GmbH
2
Angriffsziele
Zielsysteme:
 Windows, Linux, MacOS, Server & PCs, iOS (Jail Broken), AndroidOS
Zielpersonen:
 der klassische „Home User“
- 90% der User verfügen über kein funktionelles/strukturiertes Backup)
- Tonnen an wichtigen Dateien (Fotos, Diplomarbeiten usw.)
 Business-User / Unternehmen:
- in vielen Firmen kein Backup und Desaster Recovery
- vorhandene Backups oft nicht funktionell
 Prinzipiell jeder, der bereit ist, Lösegeld zu zahlen!
© IKARUS Security Software GmbH
3
Ransomware: die Anfänge
 Erste dokumentierte Ransomware: „AIDS“ aka PC Cyborg Trojan 1989
– versendet per Post auf 5 ¼‘‘ Disketten
– inkl. „License Agreement“ auf der Rückseite des „Inlet“
 Bei der Installation wurde die
„AUTOEXEC.BAT“ verändert und
ein Counter in einem „Hidden File“
installiert.
 Wurde die Datei ca. 90 Mal aufgerufen
(z.B. bei jedem Neustart), wurde die
Payload aktiviert.
© IKARUS Security Software GmbH
4
„AIDS“ aka PC Cyborg Trojan 1989
© IKARUS Security Software GmbH
5
Lockerware
 Typisches Auftreten ist das „Sperren“ des Computers
 Persönliche Dateien bleiben unberührt
 Wird in den meisten Fällen über Websites verteilt
 Ca. 30% der Privatpersonen mit infizierten Rechner zahlen das „Lösegeld“
 Preise schwanken zwischen 35 und 100 Euro, je nach Land und Schadcode
 Leicht zu entfernen: Zurücksetzen des Rechners, .exe aus
„appdata/local/temp“ entfernen
© IKARUS Security Software GmbH
6
Beispiele Lockerware
© IKARUS Security Software GmbH
7
Cryptoware
 Verschlüsselt Daten / Files auf Computern, Servern und Netzlaufwerken
 Wird meist via SPAM-Mail versandt, z.B. als „www.badurl.xx“ oder als
„Rechnung.zip“
 Computer sind nach Infektion „eingeschränkt“ benutzbar
 Lösegeldforderung: 350 – 5.000 USD, je nach „Projekt“
 Zahlungsmittel: BTC, in der neueren Generationen via TOR
 Verwendet symmetrische und asymmetrische Schlüssel
 Entschlüsselung nur unter massivem Aufwand bzw. oft gar nicht möglich
© IKARUS Security Software GmbH
8
Verschlüsselungsvarianten
 Symmetrische Verschlüsselung:
Es wird ein Schlüssel verwendet, alle Dateien sind mit dem gleichen
Verfahren verschlüsselt
 Asymmetrische Verschlüsselung:
Es wird ein von einander unabhängiges Schlüsselpaar (Private/Public KeyVerfahren) verwendet
Aktuelle Ransomware wie Cryptowall ab Vers 3.0 und Tesla Crypt verwenden
beide Verschlüsselungsverfahren!
© IKARUS Security Software GmbH
9
Infektionsablauf Cryptoware
 SPAM-Mail mit
www.badurl.xx
 User Interaktion (!)
 Anruf beim ITHelpdesk: Check
des PCs
 Ernüchterung
© IKARUS Security Software GmbH
10
„Zustellung“ CryptoWall 3.0
Verschickt viele E-Mails pro Rechner: verhältnismäßig
geringe Menge an Bots involviert (meist weniger als 250
pro Welle), dafür bis zu 500 Mails pro Bot
© IKARUS Security Software GmbH
11
„Zustellung“ TESLA Crypt
Verschickt nur ein E-Mail pro Rechner, um Virenscanner zu
unterwandern: geringe Versandmenge (meist 100 bis 500
E-Mails pro Welle), dafür bis zu 50 Wellen pro Stunde
Keine .EXE oder .ZIP-Files, sondern JavaScript als
Erstinfektor – die eigentliche Malware wird
nachgeladen
© IKARUS Security Software GmbH
12
Erschwerte Spurensuche
Die neueste Generation der Cryptoware
erzwingt vom Opfer auch die
Installation eines TOR-Browsers,
um via TOR eine Website für weitere
Informationen/Vorgehensweisen
aufzusuchen.
Massive Erschwernis für
Strafverfolgung und
forensische Analysen.
© IKARUS Security Software GmbH
13
Zwischenbilanz
 Der AIDS Trojaner anno 1989 „kostete“ 189 USD. Überraschenderweise ist
der Preis für Ransomware über die Jahre nicht dramatisch angestiegen.
 Wenn man die Inflation zwischen 1989 und 2015 mit einbezieht,
entsprechen die 350 USD von heute den 189 USD von 1989!
 Conclusio: Nicht alles wird teurer! ;-)
© IKARUS Security Software GmbH
14
Rechenbeispiel
 Netzwerk bestehend aus:
–
–
–
–
900 PCs / Laptops
250 Server
ESX mit ca. 500 Instanzen
Ein Netzlaufwerk pro User
 Tesla Crypt befällt einen der Rechner →
Anti-Viren-Programm erkennt das infizierte Binary (noch) nicht
 Malware breitet sich auf Netzlaufwerken aus: praktisch überall, wo der
User Zugriff hat
© IKARUS Security Software GmbH
15
Tesla Crypt - Next Generation
 Stealth Mode: bleibt
bis zum nächsten
Backup unauffällig
 Verschlüsselt Backups
und löscht den
Schlüssel nach
erfolgtem Backup:
Backup ist nicht mehr
brauchbar
 Netzwerk wird infiltriert
und Dateien werden
verschlüsselt
© IKARUS Security Software GmbH
16
Ransomware für mobile Geräte
 Android Lockerware sperrt Daten, Apps und sonstige Funktionen
 Die neuesten Betriebssysteme machen es Hackern jedoch zunehmend
schwerer, Sicherheit rückt in den Focus
 Schwachstellen sind die immer noch im Umlauf befindlichen alten,
unsicheren OS-Versionen, Rooting/JailBreaks und der User selbst
(Rechtevergabe!)
 Hesperbot (Android Lockerware) Reversing
https://github.com/IKARUSSoftwareSecurity/hesperbot-cracker
© IKARUS Security Software GmbH
17
Zukunftsaussichten
Auch andere Systeme werden stärker in den Focus der Angreifer rücken – die
fortschreitende Digitalisierung unserer Umwelt bietet reichlich Angriffspunkte:
 IoT – Vernetzung von TV, Kaffeemaschine, Kühlschrank
 NAS (Trojan.Synolocker für Synology)
 Linux basierende Systeme wie Raspberry Pi, Router usw.
 Gadgets (SmartWatch) durch infizierte APK-Installation am Smartphone,
automatischer Push auf die Uhr
 „Smart“ Cars
© IKARUS Security Software GmbH
18
Gegenmaßnahmen
 OS, Java und Browser immer am aktuellsten Stand halten (patchen)
 Virenscanner
 SPAM-Filter
 Backups
 Network Protection, Firewall(s) & IPS
 %appdata% und %startup% via GroupPolicies am Ausführen von
Executables hindern
 MERKE: ERST die Malware entfernen, DANACH die Files entschlüsseln!
© IKARUS Security Software GmbH
19
Siegfried Schauer
M.E.R.T.
IKARUS Security Software GmbH
Blechturmgasse 11 | 1050 Vienna | Austria
Tel: +43 1 589 95 – 235 | Fax: – 100 | E-Mail: schauer.s@ikarus.at
PGP Fingerprint: 6DDC 1964 7EB9 9684 2686 363A EB6F 86C8 EBBD 31C0
FN 64708i ATU15191405
www.ikarussecurity.com
Sources
https://www.virusbtn.com/pdf/magazine/1990/199002.pdf
http://vxheaven.org/lib/ajh00.html
http://www.anti-malware.info/old-visual-payloads/
http://blog.rackspace.com/exploit-kits-and-cryptowall-3-/
http://www.greenbookblog.org/2013/01/17/insights-the-needle-in-the-haystack/
© IKARUS Security Software GmbH
20
Herunterladen

Access Denied – someone cryptowalled my network!