Ralf Benzmüller | Leiter G DATA SecurityLabs - 2016.eicar.org · Cerber UmbreCrypt NanoLocker...

07.06.2016

1

Ransomware

Ralf Benzmüller | Leiter G DATA SecurityLabs

Systeme, Daten und Dienste als Geisel

Agenda

Vorstellung1

EICAR WG-2 | Bonn 7.6.2016 | Ransomware

Ransomware Spielarten1

Schutz vor Ransomware 1

07.06.2016

2

G Data Kompakt Gegründet 1985

Unternehmenssitz und Firmenzentrale in Bochum

>420 Mitarbeiter

Offices in Österreich, Belgien, China, Frankreich, Italien, Japan, Niederlande, Polen, Schweiz, Spanien und USA

Partner in >90 Ländern

Produkte weltweit erhältlich


Bedrohungslage > SchutzKonzept


07.06.2016

3

>30 Jahre IT-Security Know-how

Launch of business

products

Entering the Asian

market

First in world to integrate

Cloud Security technology

Founded in Bochum,

Germany by K. FiggeEstablishment of first

foreign subsidiary

Implementation of Finger-

printing Technology

Conversion into a

stock cooperation

Development of Double

Scan TechnologyLaunch of world’s first

Antivirus software

1985 1987 1995 2000 2001 2002 2003 2005 2008 2011 20132012

Integration of

BankGuard

Launch of Mobile

Security products

Launch of CloseGap

Technology

2014

USB KeyBoard

Guard

SecureChat

for MobileCom

2015


G DATA | Advanced Analytics

Awareness

Threat Modelling

Endpoint Security

Kompartmentalisierung

Sichere Kommunikation

Malware Analyse

Incident Response

Audits

Training

Security Consulting

www.gdata-advancedanalytics.de


07.06.2016

4

G DATA Partnertag 2016 | Malware Trends 2016

Engl. „ransom“ = Lösegeld

Rechner, Daten und Dienste als Geisel

Geschäftsmodell Erpressung

Verteilte Überlastangriffe (DDoS)

Scareware & Fake AV

Ransomware

Typen von Ransomware:

System-Blocker

Verschlüsselungs-Malware (Daten-Blocker)

Verschlüsselung der Webseite

Selten: Software-Locker

Selten: Internet-Zugangsblocker

Ransomware – was ist das?


07.06.2016

5

Systemblocker


Verbreitung per Drive-by-Infektion

Sperrbildschirm je nach besuchter Webseite unterschiedlich

Sperrbildschirm verhindert Zugang zu Rechner und Daten

Aktualisierung in kurzen Intervallen

Selbstschutz per Watchdog-Prozess, u.v.m.

2010 bis 2012 weit verbreitet. Heute noch aktiv

Systemblocker


07.06.2016

6

Manchmal: Abgesicherter Modus

Clean Boot

Systemblocker umgehen


1989 PC Cyborg Corporation, Joseph L. Popp

Diskette mit AIDS Information auf WHO-Konferenz verteilt

Verschlüsselt nach 90 Neustarts

Dateien auf der Festplatte

Verlangt $189 Lösegeld. Zu senden an Postfach in Panama

Zeigt EULA

Ransomware - Evolution


07.06.2016

7

Quelle: Virus Bulletin Jan 1990


Erste moderne Crypto-Malware

Verschlüsselt Dateien mit bestimmter Dateiendung

Macht sich persistent

Löscht sich nach getaner Arbeit

Ransom-Note als Textdatei („ATTENTION!!!.txt“)

Freikauf per E-Mail

Verschlüsselung verbessert sich im Laufe der Jahre

2005 Gpcoder .asc

.db

.db1

.db2

.dbf

.doc

.htm

.html

.jpg

.pgp

.rar

.rtf

.txt

.xls

.zip


07.06.2016

8

32-bit Schlüssel

Gespeichert in Registry

Ein Schlüssel für alle

Nutzt symmetrische

Standardverfahren wie

3DES und AES

Verschlüsselung der

Dateien mit RC4

RC4-Schlüssel werden

mit RSA-1024 Public

Key verschlüsselt

Original-Schlüssel

werden gelöscht

2006 2007 2008

Verschlüsselung Gpcoder


XOR

Custom-Verfahren

Wenig Ressourcen

Lässt sich üblicherweise

rückgängig machen

Standardverfahren wie

z.B. AES, 3DES, IDEA

Wenig Ressourcen

Angriffe auf Schlüssel

oder Implementierung

Public und Private Key

z.B. RSA, ECC

Langsam

Entschlüsselung nur bei

Implementierungsfehler

Pseudo Symmetrisch Asymmetrisch

Verschlüsselung


07.06.2016

9

Cryptolocker


Ransomware – Evolution < 2014 2014 2015 2016

AIDS Trojaner

Saddam Hussein

…

Gpcoder

CryZip

Archiveus

Reveton

Urausy

Kovter

Nymaim

Harasom

CryptoLocker

Browlock

Linkup

Cryptowall

CryptoDefense

CTB-Locker/ Citroni

TorrentLocker

Synolocker

ZeroLocker

CoinVault

CryptoGraphicLocker

Cryakl

BandarChor

Isda

KeyBTC

KeyHolder

VirLock

ThreatFinder

TeslaCrypt

Cryptolocker2015

CryptVault

Pacman

Pclock

VaultCrypt

CryptoFortress

ToxCrypt

Crypt0L0cker

Locker

Troldesh

BitCryptor

Encryptor RaaS

CryptoApp

HiddenTear

ORX-Locker

Fonco

CryptInfinite

Unix.Ransomcrypt

Linux.Encoder

Mabouia

Ungluk

Power Worm

Radamant

DMA-Locker

Gomasom

XRTN

Chimera

Ransom32LockyCryptoJokerMagicCerberUmbreCryptNanoLockerVipasanaVirus EncoderXoristLeChiffre7ev3nHi BuddySamsamPayCryptJobCryptorMagicPadCryptPetyaCovertonKimcilWareNemucodMaktubRokkuCryptoHasYouGinxKeRanger

ManamecryptJigsawAutoLocky8lock8BrazilianBucbiCrybolaCryprenCryptoHostCryptoMixCryptXXXFuryGhostCryptGNL LockeriLockKryptoLockerLortokMischaRectorScraperShujinSkidlockerBadBlockZcryptorBlackShadesODCODC


07.06.2016

10

Open Source Ransomware

Schwache Verschlüsselung

Sehr beliebt mit vielen Varianten

Open Source Ransomware


Open Source RansomwareEDA 2

Brazilian

Magic

MMLocker

Skidlocker

SNSLocker

Strictor

Surprise

Hidden Tear

8lock8

Blocatto

Fakben

GhostCrypt

Hi Buddy!


JobCrypter

KryptoLocker

MireWare

Sanction

07.06.2016

11

Ein Beispiel: Petya


Quelle: tgsoft.it

07.06.2016

12

Sucht und mountet Laufwerke

Verschlüsselte Dateien erhalten Dateiinfektor

Verschlüsselte Dateien enthalten Schlüssel

Sperrt Zugang per Lockscreen nach der Verschlüsselung


Operation Global III

Chimera


07.06.2016

13

Synolocker


Pclock als Cryptolocker

Copycats


07.06.2016

14

Torrentlocker als Cryptolocker

CryptoFortress als Torrentlocker

Copycats


Familie Jahr Besonderheit

Archiveus 2006 Bezahlen per Bestellung im Pharma-Shop

Linkup 2014 Blockiert den Internetzugang

Synolocker 2014 Nutzt Sicherheitslücke in NAS Firmware

VaultCrypt 2014 Nutzt gpg.exe

Encryptor RaaS 2015 Ransomware as a Service per Webseite

Locker 2015 Autor entschuldigt sich und gibt Schlüssel frei

Chimera 2015 Hybrid. Droht damit Daten zu veröffentlichen

PowerWorm 2015 In PowerShell geschrieben

Unix R-ware 2015 Unix Ransomcrypt, Linux Encoder

OS X R-ware 2016 KeRanger, Mabouia


Ransomware kompakt

07.06.2016

15

Familie Jahr Besonderheit

PadCrypt 2016 Bietet Live-Chat Support

Ransom32 2016 Erste Ransomware in JavaScript => Multi-Plattform

CTB-Locker 2016 5 Dateien zur Probe entschlüsseln

Coverton 2016 Integrierter Decrypter funktioniert nicht

Jigsaw 2016 Löscht Dateien

Cerber 2016 Erste Ransomware, die spricht

Kimcil 2016 Greift Magento Webshops an

LeChiffre 2016 Wird in gezielten Angriffen manuell gestartet

AutoLocky 2016 Locky-Mimikri. RAR-Archiv mit einfachem Passwort


Ransomware kompakt

Ransomware international


07.06.2016

16

4 Versionen seit 2015

Kontinuierlich verbesserte Verschlüsselung (AES + ECHD + SHA1)

V4: keine typische Dateiendung

Infektion per E-Mail-Anhang oder Drive-By-Infektion

Weit verbreitetes Framework

Project closed. Generalschlüssel veröffentlicht

TeslaCrypt


Verdrängt TeslaCrypt

V2: nach der Verschlüsselung wird das System gesperrt

CryptXXX


07.06.2016

17

TeslaCrypt-Revival?


Aus CryptXXX wird UltraCrypter

Ransomware – Zielgruppen Privatnutzer

Cryptolocker

Cryptowall

TorrentLocker

TeslaCrypt

Locky

Bilder, Audio, Video

Dokumente, Office Dateien

Emails & Datenbanken

Spiele & Spielstände

Sourcecode & Webseiten

Archive, Backups & Images

Virtuelle Maschinen

Ausführbare Dateien

*

.1cd .3ds .3fr .3gp .7z .a3d .abf

.accdb .ach .ai .aiff .arc .arj .arw

.asf .asm .asp .aspx .asx .avi

.back .backup .bad .bak .bay .bin

.blend .bmp .c .c4d .cam .cd .cdr

.cdx .cer .cf .cineon .cpp .cpt .cr2

.crt .crw .css .csv .ctl .dat .db .db3

.dbf .dcr .dds .der .des .dicom .dit

.dng .doc .docm .docx .dotm .dotx

.dsc .dtd .dwg .dxf .dxg .edb .eml

.eps .erf .ert .exif .fbf .fbk .fbw .fbx

.fdb .fil .fla .flac .flv .flvv .fmb .fmt

.fmx .gbk .gho .gif .groups .gzip

.hdd .hdr .hpp .html .iif .img .indd

.iso .iv2i .java .jfif .jpe .jpeg .jpg .js

.kdc .key .keystore .kwm .ldf .log

.lst .lua .m2ts .m2v .m3d .m4v

.max .mdb .mdf .mef .mkv .mov

.mp3 .mp4 .mpeg .mpg .mrw

.msg .nbd .nd .ndf .nef .nrw

.nvram .nx1 .oab .obj .odb .odc

.odm .odp .ods .odt .ogg .old

.openexr .ora .orf .ost .p12 .p7b

.p7c .pab .pas .pbm .pck .pct .pdb

.pdd .pdf .pef .pem .perl .pfx .pgm

.php .pic .pif .pkb .pks .pl .plb .pls

.png .pot .potm .potx .ppam .ppm

.pps .ppsm .ppsx .ppt .pptm .pptx

.prf .prn .psb .psd .pst .ptx .pwm

.pz3 .qba .qba.tlg .qbb .qbm .qbr

.qbw .qbw.tlg .qbx .qby .qcow

.qcow2 .qed .qfx .qic .r3d .raf .rar

.raw .rdf .rdo .rep .rex .rtf .rvt .rw2

.rwl .rx2 .safe .sav .sbs .sldasm

.sldm .sldprt .sldx .sn1 .sna .spf

.spr .sql .sqlite .sr2 .srf .srt .srw

.sti .stm .svg .swf .sxi .tbl .tc .tex

.tga .thm .thmx .tiff .tis .tlg .txt

.vbox .vdi .vhd .vhdx .vmdk .vmsd

.vmx .vmxf .vob .vsdx .wav .wb2

.wma .wmv .wpd .wps .x3f .xbm

.xlam .xlk .xlr .xls .xlsb .xlsm .xlsx

.xltm .xml .yaml .yuv .zip


07.06.2016

18

Ransomware – Zielgruppen Firmen und Organisationen

Behörden

Unternehmen

Krankenhäuser

…

Netzwerkfreigaben

Laufwerke mounten

Fernwartungszugriff

Webserver

FileServer


Wurden Sie Opfer von Ransomware?

68%

32%

Nein Ja


07.06.2016

19

Betroffene Unternehmensgrößen

28 3244

54

27

149

8474 62

13

0

20

40

60

80

100

120

140

160

180

200

1 bis 49 50 bis 249 250 bis 999 1.000 bis 10.000 10.000+

Ja, die Institution war betroffen Nein, die Institution war nicht betroffenAnzahl der Mitarbeiter*innen

An

za

hl d

er

Institu

tio

ne

n


Einfallstore

156

363 14

0

20

40

60

80

100

120

140

160

180

E-Mail Anhang Drive-by Angriff Hacking Sonstige

Anzahl der

Nennungen

Im Prinzip alle üblichen Verbreitungswege für Malware

Datei-Download-Bundle

USB-Device

Per Botnetz

Remote-Desktop Exploit

Smartphones


07.06.2016

20

Typische Aktionen Phone-Home zum Control-Server

Infection-ID

Download & Execute

Persistenz

Autostart

MBR

Vorbereitung & Action

Schutzfunktionen deaktivieren

%TEMP%, %APPDATA%, %LOCALAPP…

Dateiendungen

Datei-Recovery verhindern

Sicheres Löschen

Schattenkopien löschen

Tarnung

Prozesse von Tools beenden

Löscht sich nach getaner Arbeit

Schadfunktionen

Dateiinfektor

Spyware


Bitcoin only

Preise steigen

Garantie


Zerolocker

07.06.2016

21

BitCoin

Amazon Gutscheine

Geschenkkarten

Paysafecard, ukash, …

Bezahlen?


Anonyme Bezahlverfahren sind die Basis für Ransomware

Das Geschäftsmodell Erpressung ist etabliert

Es werden noch etliche Erpressungsszenarien ausprobiert.

Neue Technologien bieten reichlich Möglichkeiten:

Smart TV, Smart Home, Smart Watch, Wearables, …

Smart Cars, Connected Driving, …

Smart Factory, Smart City, Smart Meter, …

Cloud-Dienste, Webapplikationen, …

Connected Sex-Toys?

Ransomware – Quo vadis?


07.06.2016

22

Was tun gegen Ransomware?

Was tun gegen Ransomware? Vorbeugen

Backups

Patch Management

Endpunkte absichern

Systeme härten

Überblick über Infrastruktur

Schutztechnologie

Virenschutz mit dynamischer Erkennung

Firewall/ IDS/ IPS

Webfilter

Anti-Spam

Exploit-Schutz

Prozesse

Notfallplan

Backups ausprobieren

Awareness

Vom Problem zum Schutz


07.06.2016

23

Ransomware basiert auf anonymen Bezahlverfahren

Ransomware ist ein vitales, neues CyberCrime-Geschäftsfeld, das sich

etabliert hat

Unternehmen und Organisationen rücken verstärkt in den Fokus

Ransomware ist Indikator für die Effektivität der Abwehrmaßnahmen

Fazit


Vielen Dank!Ralf Benzmüller

Leiter G DATA SecurityLabs

E-Mail: [email protected]

Twitter: @rb_gdata


07.06.2016

24

Abgewehrte Exploit-Angriffe


Ralf Benzmüller | Leiter G DATA SecurityLabs - 2016.eicar.org · Cerber UmbreCrypt NanoLocker...

Documents

Transcript of Ralf Benzmüller | Leiter G DATA SecurityLabs - 2016.eicar.org · Cerber UmbreCrypt NanoLocker...