In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Access Denied – someone cryptowalled my network!

Werbung 
Access Denied –
someone cryptowalled my network!
© IKARUS Security Software GmbH
1
Basic Facts
Ransomware sperrt die befallenen Rechner (Lockerware) oder verschlüsselt
die Daten am Rechner (Cryptoware) und fordert zur Freigabe vom User ein
Lösegeld.
 Durchschnittlicher Lösegeld-Betrag: USD 300,- Gängige Zahlungsmethoden:
- Locker Ransomware: Voucher Codes (ukash usw.)
- Crypto Ransomware: Bitcoin (BTC)
 2015 gab es über 118.000 neue Ransom-Binaries pro Monat, davon:
- Locker: 37%
- Crypto: 63%
© IKARUS Security Software GmbH
2
Angriffsziele
Zielsysteme:
 Windows, Linux, MacOS, Server & PCs, iOS (Jail Broken), AndroidOS
Zielpersonen:
 der klassische „Home User“
- 90% der User verfügen über kein funktionelles/strukturiertes Backup)
- Tonnen an wichtigen Dateien (Fotos, Diplomarbeiten usw.)
 Business-User / Unternehmen:
- in vielen Firmen kein Backup und Desaster Recovery
- vorhandene Backups oft nicht funktionell
 Prinzipiell jeder, der bereit ist, Lösegeld zu zahlen!
© IKARUS Security Software GmbH
3
Ransomware: die Anfänge
 Erste dokumentierte Ransomware: „AIDS“ aka PC Cyborg Trojan 1989
– versendet per Post auf 5 ¼‘‘ Disketten
– inkl. „License Agreement“ auf der Rückseite des „Inlet“
 Bei der Installation wurde die
„AUTOEXEC.BAT“ verändert und
ein Counter in einem „Hidden File“
installiert.
 Wurde die Datei ca. 90 Mal aufgerufen
(z.B. bei jedem Neustart), wurde die
Payload aktiviert.
© IKARUS Security Software GmbH
4
„AIDS“ aka PC Cyborg Trojan 1989
© IKARUS Security Software GmbH
5
Lockerware
 Typisches Auftreten ist das „Sperren“ des Computers
 Persönliche Dateien bleiben unberührt
 Wird in den meisten Fällen über Websites verteilt
 Ca. 30% der Privatpersonen mit infizierten Rechner zahlen das „Lösegeld“
 Preise schwanken zwischen 35 und 100 Euro, je nach Land und Schadcode
 Leicht zu entfernen: Zurücksetzen des Rechners, .exe aus
„appdata/local/temp“ entfernen
© IKARUS Security Software GmbH
6
Beispiele Lockerware
© IKARUS Security Software GmbH
7
Cryptoware
 Verschlüsselt Daten / Files auf Computern, Servern und Netzlaufwerken
 Wird meist via SPAM-Mail versandt, z.B. als „www.badurl.xx“ oder als
„Rechnung.zip“
 Computer sind nach Infektion „eingeschränkt“ benutzbar
 Lösegeldforderung: 350 – 5.000 USD, je nach „Projekt“
 Zahlungsmittel: BTC, in der neueren Generationen via TOR
 Verwendet symmetrische und asymmetrische Schlüssel
 Entschlüsselung nur unter massivem Aufwand bzw. oft gar nicht möglich
© IKARUS Security Software GmbH
8
Verschlüsselungsvarianten
 Symmetrische Verschlüsselung:
Es wird ein Schlüssel verwendet, alle Dateien sind mit dem gleichen
Verfahren verschlüsselt
 Asymmetrische Verschlüsselung:
Es wird ein von einander unabhängiges Schlüsselpaar (Private/Public KeyVerfahren) verwendet
Aktuelle Ransomware wie Cryptowall ab Vers 3.0 und Tesla Crypt verwenden
beide Verschlüsselungsverfahren!
© IKARUS Security Software GmbH
9
Infektionsablauf Cryptoware
 SPAM-Mail mit
www.badurl.xx
 User Interaktion (!)
 Anruf beim ITHelpdesk: Check
des PCs
 Ernüchterung
© IKARUS Security Software GmbH
10
„Zustellung“ CryptoWall 3.0
Verschickt viele E-Mails pro Rechner: verhältnismäßig
geringe Menge an Bots involviert (meist weniger als 250
pro Welle), dafür bis zu 500 Mails pro Bot
© IKARUS Security Software GmbH
11
„Zustellung“ TESLA Crypt
Verschickt nur ein E-Mail pro Rechner, um Virenscanner zu
unterwandern: geringe Versandmenge (meist 100 bis 500
E-Mails pro Welle), dafür bis zu 50 Wellen pro Stunde
Keine .EXE oder .ZIP-Files, sondern JavaScript als
Erstinfektor – die eigentliche Malware wird
nachgeladen
© IKARUS Security Software GmbH
12
Erschwerte Spurensuche
Die neueste Generation der Cryptoware
erzwingt vom Opfer auch die
Installation eines TOR-Browsers,
um via TOR eine Website für weitere
Informationen/Vorgehensweisen
aufzusuchen.
Massive Erschwernis für
Strafverfolgung und
forensische Analysen.
© IKARUS Security Software GmbH
13
Zwischenbilanz
 Der AIDS Trojaner anno 1989 „kostete“ 189 USD. Überraschenderweise ist
der Preis für Ransomware über die Jahre nicht dramatisch angestiegen.
 Wenn man die Inflation zwischen 1989 und 2015 mit einbezieht,
entsprechen die 350 USD von heute den 189 USD von 1989!
 Conclusio: Nicht alles wird teurer! ;-)
© IKARUS Security Software GmbH
14
Rechenbeispiel
 Netzwerk bestehend aus:
–
–
–
–
900 PCs / Laptops
250 Server
ESX mit ca. 500 Instanzen
Ein Netzlaufwerk pro User
 Tesla Crypt befällt einen der Rechner →
Anti-Viren-Programm erkennt das infizierte Binary (noch) nicht
 Malware breitet sich auf Netzlaufwerken aus: praktisch überall, wo der
User Zugriff hat
© IKARUS Security Software GmbH
15
Tesla Crypt - Next Generation
 Stealth Mode: bleibt
bis zum nächsten
Backup unauffällig
 Verschlüsselt Backups
und löscht den
Schlüssel nach
erfolgtem Backup:
Backup ist nicht mehr
brauchbar
 Netzwerk wird infiltriert
und Dateien werden
verschlüsselt
© IKARUS Security Software GmbH
16
Ransomware für mobile Geräte
 Android Lockerware sperrt Daten, Apps und sonstige Funktionen
 Die neuesten Betriebssysteme machen es Hackern jedoch zunehmend
schwerer, Sicherheit rückt in den Focus
 Schwachstellen sind die immer noch im Umlauf befindlichen alten,
unsicheren OS-Versionen, Rooting/JailBreaks und der User selbst
(Rechtevergabe!)
 Hesperbot (Android Lockerware) Reversing
https://github.com/IKARUSSoftwareSecurity/hesperbot-cracker
© IKARUS Security Software GmbH
17
Zukunftsaussichten
Auch andere Systeme werden stärker in den Focus der Angreifer rücken – die
fortschreitende Digitalisierung unserer Umwelt bietet reichlich Angriffspunkte:
 IoT – Vernetzung von TV, Kaffeemaschine, Kühlschrank
 NAS (Trojan.Synolocker für Synology)
 Linux basierende Systeme wie Raspberry Pi, Router usw.
 Gadgets (SmartWatch) durch infizierte APK-Installation am Smartphone,
automatischer Push auf die Uhr
 „Smart“ Cars
© IKARUS Security Software GmbH
18
Gegenmaßnahmen
 OS, Java und Browser immer am aktuellsten Stand halten (patchen)
 Virenscanner
 SPAM-Filter
 Backups
 Network Protection, Firewall(s) & IPS
 %appdata% und %startup% via GroupPolicies am Ausführen von
Executables hindern
 MERKE: ERST die Malware entfernen, DANACH die Files entschlüsseln!
© IKARUS Security Software GmbH
19
Siegfried Schauer
M.E.R.T.
IKARUS Security Software GmbH
Blechturmgasse 11 | 1050 Vienna | Austria
Tel: +43 1 589 95 – 235 | Fax: – 100 | E-Mail: [email protected]
PGP Fingerprint: 6DDC 1964 7EB9 9684 2686 363A EB6F 86C8 EBBD 31C0
FN 64708i ATU15191405
www.ikarussecurity.com
Sources
https://www.virusbtn.com/pdf/magazine/1990/199002.pdf
http://vxheaven.org/lib/ajh00.html
http://www.anti-malware.info/old-visual-payloads/
http://blog.rackspace.com/exploit-kits-and-cryptowall-3-/
http://www.greenbookblog.org/2013/01/17/insights-the-needle-in-the-haystack/
© IKARUS Security Software GmbH
20
Zugehörige Unterlagen
Seit bald 30 Jahren entwickelt IKARUS Security Software erfolgreich
Seit bald 30 Jahren entwickelt IKARUS Security Software erfolgreich
Access Denied – someone cryptowalled my network! - Der E-Day
Access Denied – someone cryptowalled my network! - Der E-Day
Sonntag, 6. April 2014, 17.00h
Sonntag, 6. April 2014, 17.00h
Die Symbolon-Methode
Die Symbolon-Methode
Block 1: Grundlegendes zur Vwl (Kapitel 1 und 2)
Block 1: Grundlegendes zur Vwl (Kapitel 1 und 2)
Lösegeld 4.0: Auch Kriminelle können digital
Lösegeld 4.0: Auch Kriminelle können digital
Stormshield Endpoint Security - Airbus Defence and Space
Stormshield Endpoint Security - Airbus Defence and Space
Mittelalter Ständeordnung und Lebenswelten
Mittelalter Ständeordnung und Lebenswelten
Sofortmaßnahmen gegen Krypto
Sofortmaßnahmen gegen Krypto
Skandinavisches Recht und Angelsächsisches in dern Neuzeit
Skandinavisches Recht und Angelsächsisches in dern Neuzeit
Maic Beher: SQL Server 2014
Maic Beher: SQL Server 2014
23. DFN-Konferenz „Sicherheit in vernetzten Systemen“ - DFN-CERT
23. DFN-Konferenz „Sicherheit in vernetzten Systemen“ - DFN-CERT
Herunterladen
Werbung