Ralf Benzmüller | Leiter G DATA SecurityLabs - 2016.eicar.org · Cerber UmbreCrypt NanoLocker...
Transcript of Ralf Benzmüller | Leiter G DATA SecurityLabs - 2016.eicar.org · Cerber UmbreCrypt NanoLocker...
07.06.2016
1
Ransomware
Ralf Benzmüller | Leiter G DATA SecurityLabs
Systeme, Daten und Dienste als Geisel
Agenda
Vorstellung1
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Ransomware Spielarten1
Schutz vor Ransomware 1
07.06.2016
2
G Data Kompakt Gegründet 1985
Unternehmenssitz und Firmenzentrale in Bochum
>420 Mitarbeiter
Offices in Österreich, Belgien, China, Frankreich, Italien, Japan, Niederlande, Polen, Schweiz, Spanien und USA
Partner in >90 Ländern
Produkte weltweit erhältlich
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Bedrohungslage > SchutzKonzept
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
3
>30 Jahre IT-Security Know-how
Launch of business
products
Entering the Asian
market
First in world to integrate
Cloud Security technology
Founded in Bochum,
Germany by K. FiggeEstablishment of first
foreign subsidiary
Implementation of Finger-
printing Technology
Conversion into a
stock cooperation
Development of Double
Scan TechnologyLaunch of world’s first
Antivirus software
1985 1987 1995 2000 2001 2002 2003 2005 2008 2011 20132012
Integration of
BankGuard
Launch of Mobile
Security products
Launch of CloseGap
Technology
2014
USB KeyBoard
Guard
SecureChat
for MobileCom
2015
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
G DATA | Advanced Analytics
Awareness
Threat Modelling
Endpoint Security
Kompartmentalisierung
Sichere Kommunikation
Malware Analyse
Incident Response
Audits
Training
Security Consulting
www.gdata-advancedanalytics.de
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
4
G DATA Partnertag 2016 | Malware Trends 2016
Engl. „ransom“ = Lösegeld
Rechner, Daten und Dienste als Geisel
Geschäftsmodell Erpressung
Verteilte Überlastangriffe (DDoS)
Scareware & Fake AV
Ransomware
Typen von Ransomware:
System-Blocker
Verschlüsselungs-Malware (Daten-Blocker)
Verschlüsselung der Webseite
Selten: Software-Locker
Selten: Internet-Zugangsblocker
Ransomware – was ist das?
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
5
Systemblocker
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Verbreitung per Drive-by-Infektion
Sperrbildschirm je nach besuchter Webseite unterschiedlich
Sperrbildschirm verhindert Zugang zu Rechner und Daten
Aktualisierung in kurzen Intervallen
Selbstschutz per Watchdog-Prozess, u.v.m.
2010 bis 2012 weit verbreitet. Heute noch aktiv
Systemblocker
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
6
Manchmal: Abgesicherter Modus
Clean Boot
Systemblocker umgehen
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
1989 PC Cyborg Corporation, Joseph L. Popp
Diskette mit AIDS Information auf WHO-Konferenz verteilt
Verschlüsselt nach 90 Neustarts
Dateien auf der Festplatte
Verlangt $189 Lösegeld. Zu senden an Postfach in Panama
Zeigt EULA
Ransomware - Evolution
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
7
Quelle: Virus Bulletin Jan 1990
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Erste moderne Crypto-Malware
Verschlüsselt Dateien mit bestimmter Dateiendung
Macht sich persistent
Löscht sich nach getaner Arbeit
Ransom-Note als Textdatei („ATTENTION!!!.txt“)
Freikauf per E-Mail
Verschlüsselung verbessert sich im Laufe der Jahre
2005 Gpcoder .asc
.db
.db1
.db2
.dbf
.doc
.htm
.html
.jpg
.pgp
.rar
.rtf
.txt
.xls
.zip
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
8
32-bit Schlüssel
Gespeichert in Registry
Ein Schlüssel für alle
Nutzt symmetrische
Standardverfahren wie
3DES und AES
Verschlüsselung der
Dateien mit RC4
RC4-Schlüssel werden
mit RSA-1024 Public
Key verschlüsselt
Original-Schlüssel
werden gelöscht
2006 2007 2008
Verschlüsselung Gpcoder
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
XOR
Custom-Verfahren
Wenig Ressourcen
Lässt sich üblicherweise
rückgängig machen
Standardverfahren wie
z.B. AES, 3DES, IDEA
Wenig Ressourcen
Angriffe auf Schlüssel
oder Implementierung
Public und Private Key
z.B. RSA, ECC
Langsam
Entschlüsselung nur bei
Implementierungsfehler
Pseudo Symmetrisch Asymmetrisch
Verschlüsselung
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
9
Cryptolocker
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Ransomware – Evolution < 2014 2014 2015 2016
AIDS Trojaner
Saddam Hussein
…
Gpcoder
CryZip
Archiveus
Reveton
Urausy
Kovter
Nymaim
Harasom
CryptoLocker
Browlock
Linkup
Cryptowall
CryptoDefense
CTB-Locker/ Citroni
TorrentLocker
Synolocker
ZeroLocker
CoinVault
CryptoGraphicLocker
Cryakl
BandarChor
Isda
KeyBTC
KeyHolder
VirLock
ThreatFinder
TeslaCrypt
Cryptolocker2015
CryptVault
Pacman
Pclock
VaultCrypt
CryptoFortress
ToxCrypt
Crypt0L0cker
Locker
Troldesh
BitCryptor
Encryptor RaaS
CryptoApp
HiddenTear
ORX-Locker
Fonco
CryptInfinite
Unix.Ransomcrypt
Linux.Encoder
Mabouia
Ungluk
Power Worm
Radamant
DMA-Locker
Gomasom
XRTN
Chimera
Ransom32LockyCryptoJokerMagicCerberUmbreCryptNanoLockerVipasanaVirus EncoderXoristLeChiffre7ev3nHi BuddySamsamPayCryptJobCryptorMagicPadCryptPetyaCovertonKimcilWareNemucodMaktubRokkuCryptoHasYouGinxKeRanger
ManamecryptJigsawAutoLocky8lock8BrazilianBucbiCrybolaCryprenCryptoHostCryptoMixCryptXXXFuryGhostCryptGNL LockeriLockKryptoLockerLortokMischaRectorScraperShujinSkidlockerBadBlockZcryptorBlackShadesODCODC
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
10
Open Source Ransomware
Schwache Verschlüsselung
Sehr beliebt mit vielen Varianten
Open Source Ransomware
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Open Source RansomwareEDA 2
Brazilian
Magic
MMLocker
Skidlocker
SNSLocker
Strictor
Surprise
Hidden Tear
8lock8
Blocatto
Fakben
GhostCrypt
Hi Buddy!
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
JobCrypter
KryptoLocker
MireWare
Sanction
07.06.2016
11
Ein Beispiel: Petya
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Quelle: tgsoft.it
07.06.2016
12
Sucht und mountet Laufwerke
Verschlüsselte Dateien erhalten Dateiinfektor
Verschlüsselte Dateien enthalten Schlüssel
Sperrt Zugang per Lockscreen nach der Verschlüsselung
G DATA Partnertag 2016 | Malware Trends 2016
Operation Global III
Chimera
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
13
Synolocker
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Pclock als Cryptolocker
Copycats
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
14
Torrentlocker als Cryptolocker
CryptoFortress als Torrentlocker
Copycats
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Familie Jahr Besonderheit
Archiveus 2006 Bezahlen per Bestellung im Pharma-Shop
Linkup 2014 Blockiert den Internetzugang
Synolocker 2014 Nutzt Sicherheitslücke in NAS Firmware
VaultCrypt 2014 Nutzt gpg.exe
Encryptor RaaS 2015 Ransomware as a Service per Webseite
Locker 2015 Autor entschuldigt sich und gibt Schlüssel frei
Chimera 2015 Hybrid. Droht damit Daten zu veröffentlichen
PowerWorm 2015 In PowerShell geschrieben
Unix R-ware 2015 Unix Ransomcrypt, Linux Encoder
OS X R-ware 2016 KeRanger, Mabouia
G DATA Partnertag 2016 | Malware Trends 2016
Ransomware kompakt
07.06.2016
15
Familie Jahr Besonderheit
PadCrypt 2016 Bietet Live-Chat Support
Ransom32 2016 Erste Ransomware in JavaScript => Multi-Plattform
CTB-Locker 2016 5 Dateien zur Probe entschlüsseln
Coverton 2016 Integrierter Decrypter funktioniert nicht
Jigsaw 2016 Löscht Dateien
Cerber 2016 Erste Ransomware, die spricht
Kimcil 2016 Greift Magento Webshops an
LeChiffre 2016 Wird in gezielten Angriffen manuell gestartet
AutoLocky 2016 Locky-Mimikri. RAR-Archiv mit einfachem Passwort
G DATA Partnertag 2016 | Malware Trends 2016
Ransomware kompakt
Ransomware international
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
16
4 Versionen seit 2015
Kontinuierlich verbesserte Verschlüsselung (AES + ECHD + SHA1)
V4: keine typische Dateiendung
Infektion per E-Mail-Anhang oder Drive-By-Infektion
Weit verbreitetes Framework
Project closed. Generalschlüssel veröffentlicht
TeslaCrypt
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Verdrängt TeslaCrypt
V2: nach der Verschlüsselung wird das System gesperrt
CryptXXX
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
17
TeslaCrypt-Revival?
G DATA Partnertag 2016 | Malware Trends 2016
Aus CryptXXX wird UltraCrypter
Ransomware – Zielgruppen Privatnutzer
Cryptolocker
Cryptowall
TorrentLocker
TeslaCrypt
Locky
Bilder, Audio, Video
Dokumente, Office Dateien
Emails & Datenbanken
Spiele & Spielstände
Sourcecode & Webseiten
Archive, Backups & Images
Virtuelle Maschinen
Ausführbare Dateien
*
.1cd .3ds .3fr .3gp .7z .a3d .abf
.accdb .ach .ai .aiff .arc .arj .arw
.asf .asm .asp .aspx .asx .avi
.back .backup .bad .bak .bay .bin
.blend .bmp .c .c4d .cam .cd .cdr
.cdx .cer .cf .cineon .cpp .cpt .cr2
.crt .crw .css .csv .ctl .dat .db .db3
.dbf .dcr .dds .der .des .dicom .dit
.dng .doc .docm .docx .dotm .dotx
.dsc .dtd .dwg .dxf .dxg .edb .eml
.eps .erf .ert .exif .fbf .fbk .fbw .fbx
.fdb .fil .fla .flac .flv .flvv .fmb .fmt
.fmx .gbk .gho .gif .groups .gzip
.hdd .hdr .hpp .html .iif .img .indd
.iso .iv2i .java .jfif .jpe .jpeg .jpg .js
.kdc .key .keystore .kwm .ldf .log
.lst .lua .m2ts .m2v .m3d .m4v
.max .mdb .mdf .mef .mkv .mov
.mp3 .mp4 .mpeg .mpg .mrw
.msg .nbd .nd .ndf .nef .nrw
.nvram .nx1 .oab .obj .odb .odc
.odm .odp .ods .odt .ogg .old
.openexr .ora .orf .ost .p12 .p7b
.p7c .pab .pas .pbm .pck .pct .pdb
.pdd .pdf .pef .pem .perl .pfx .pgm
.php .pic .pif .pkb .pks .pl .plb .pls
.png .pot .potm .potx .ppam .ppm
.pps .ppsm .ppsx .ppt .pptm .pptx
.prf .prn .psb .psd .pst .ptx .pwm
.pz3 .qba .qba.tlg .qbb .qbm .qbr
.qbw .qbw.tlg .qbx .qby .qcow
.qcow2 .qed .qfx .qic .r3d .raf .rar
.raw .rdf .rdo .rep .rex .rtf .rvt .rw2
.rwl .rx2 .safe .sav .sbs .sldasm
.sldm .sldprt .sldx .sn1 .sna .spf
.spr .sql .sqlite .sr2 .srf .srt .srw
.sti .stm .svg .swf .sxi .tbl .tc .tex
.tga .thm .thmx .tiff .tis .tlg .txt
.vbox .vdi .vhd .vhdx .vmdk .vmsd
.vmx .vmxf .vob .vsdx .wav .wb2
.wma .wmv .wpd .wps .x3f .xbm
.xlam .xlk .xlr .xls .xlsb .xlsm .xlsx
.xltm .xml .yaml .yuv .zip
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
18
Ransomware – Zielgruppen Firmen und Organisationen
Behörden
Unternehmen
Krankenhäuser
…
Netzwerkfreigaben
Laufwerke mounten
Fernwartungszugriff
Webserver
FileServer
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Wurden Sie Opfer von Ransomware?
68%
32%
Nein Ja
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
19
Betroffene Unternehmensgrößen
28 3244
54
27
149
8474 62
13
0
20
40
60
80
100
120
140
160
180
200
1 bis 49 50 bis 249 250 bis 999 1.000 bis 10.000 10.000+
Ja, die Institution war betroffen Nein, die Institution war nicht betroffenAnzahl der Mitarbeiter*innen
An
za
hl d
er
Institu
tio
ne
n
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Einfallstore
156
363 14
0
20
40
60
80
100
120
140
160
180
E-Mail Anhang Drive-by Angriff Hacking Sonstige
Anzahl der
Nennungen
Im Prinzip alle üblichen Verbreitungswege für Malware
Datei-Download-Bundle
USB-Device
Per Botnetz
Remote-Desktop Exploit
Smartphones
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
20
Typische Aktionen Phone-Home zum Control-Server
Infection-ID
Download & Execute
Persistenz
Autostart
MBR
Vorbereitung & Action
Schutzfunktionen deaktivieren
%TEMP%, %APPDATA%, %LOCALAPP…
Dateiendungen
Datei-Recovery verhindern
Sicheres Löschen
Schattenkopien löschen
Tarnung
Prozesse von Tools beenden
Löscht sich nach getaner Arbeit
Schadfunktionen
Dateiinfektor
Spyware
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Bitcoin only
Preise steigen
Garantie
G DATA Partnertag 2016 | Malware Trends 2016
Zerolocker
07.06.2016
21
BitCoin
Amazon Gutscheine
Geschenkkarten
Paysafecard, ukash, …
Bezahlen?
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Anonyme Bezahlverfahren sind die Basis für Ransomware
Das Geschäftsmodell Erpressung ist etabliert
Es werden noch etliche Erpressungsszenarien ausprobiert.
Neue Technologien bieten reichlich Möglichkeiten:
Smart TV, Smart Home, Smart Watch, Wearables, …
Smart Cars, Connected Driving, …
Smart Factory, Smart City, Smart Meter, …
Cloud-Dienste, Webapplikationen, …
Connected Sex-Toys?
Ransomware – Quo vadis?
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
22
Was tun gegen Ransomware?
Was tun gegen Ransomware? Vorbeugen
Backups
Patch Management
Endpunkte absichern
Systeme härten
Überblick über Infrastruktur
Schutztechnologie
Virenschutz mit dynamischer Erkennung
Firewall/ IDS/ IPS
Webfilter
Anti-Spam
Exploit-Schutz
Prozesse
Notfallplan
Backups ausprobieren
Awareness
Vom Problem zum Schutz
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
23
Ransomware basiert auf anonymen Bezahlverfahren
Ransomware ist ein vitales, neues CyberCrime-Geschäftsfeld, das sich
etabliert hat
Unternehmen und Organisationen rücken verstärkt in den Fokus
Ransomware ist Indikator für die Effektivität der Abwehrmaßnahmen
Fazit
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
Vielen Dank!Ralf Benzmüller
Leiter G DATA SecurityLabs
E-Mail: [email protected]
Twitter: @rb_gdata
EICAR WG-2 | Bonn 7.6.2016 | Ransomware
07.06.2016
24
Abgewehrte Exploit-Angriffe
EICAR WG-2 | Bonn 7.6.2016 | Ransomware