Конференция "Код ИБ" 2017 | Минск

1. Ransomware: платить нельзя
защититься
Confidential | Copyright 2017 Trend Micro Inc.
Карен Карагедян
КОД ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Минск, 20.04.2017

2. Copyright 2015 Trend Micro Inc.2 Copyright 2017 Trend Micro Inc.2
Домашние
пользователи
Государственный
сектор
Малый бизнес
Партнеры и
OEM
Крупные
предприятия
Рабочие
станции
Сервера Виртуальные
системы
Электронная
почта
Сеть ОблакоИнтернет-
шлюз
Trend Micro — глобальный разработчик средств
кибербезопасности

3. Copyright 2015 Trend Micro Inc.3 Copyright 2017 Trend Micro Inc.3
Общее количество заблокированных угроз, 2016
— первое полугодие

4. Copyright 2015 Trend Micro Inc.4 Copyright 2017 Trend Micro Inc.4
Угрозы в электронной почте
— первое полугодие
— второе полугодие

5. 74% of targeted attacks involve spear phishing
emails. – Trend Labs Jan 2016
4/21/2017 5Copyright 2017 Trend Micro Inc.
74%Целенаправленных атак
доставляются посредством
электронной почты
Угрозы в электронной почте

6. Copyright 2015 Trend Micro Inc.7 Copyright 2017 Trend Micro Inc.7
Статистика форматов файлов

7. Обозначения
«хорошие»
данные
«плохие»
данные
Неизвестные
данные
Репутация файлов и Веб,
предотвращение
уязвимостей, контроль
приложений, выявление
модификаций
Поведенческий анализ
Блокировка
вредоносных
файлов
Уменьшение
«шума»
Машинное обучение перед
исполнением
Машинное обучение во
время исполнения
Подходящая технология в
подходящее время
Безопасны
е файлы

8. Copyright 2015 Trend Micro Inc.9 Copyright 2017 Trend Micro Inc.9
Новые семейства программ-вымогателей
Рост 750%

9. Январь 2016 — программы-вымогатели
ФОРМА ОПЛАТЫ
СПАМ
2 BTC
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО И
УДАЛЯЮТСЯ
ПУБЛИЧНЫЙ КЛЮЧ
БЕРЁТСЯ С C&C
КЛЮЧ ШИФРОВАНИЯ
НА СЕРВЕРЕ
ФАЙЛЫ БД
Нужно связаться с
автором для получения
инструкций по оплате
СПАМ СПАМ СПАМ СПАМ СПАМ
13 BTC 0.5 BTC 1 BTC 0.1 BTC
НЕТ
СООБЩЕНИЯ
О ВЫКУПЕ
ЧИСЛО ДЕТЕКТОВ В
SPN
РАСПРОСТРАНЕНИЕ
ШИФРУЕМЫЕ
ДАННЫЕ
ФАЙЛЫ БД
ЛИЧНЫЕ ФАЙЛЫ ЛИЧНЫЕ
ФАЙЛЫ
ТОЛЬКО ЛИЧНЫЕ
ФАЙЛЫ
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
ПРИВАТНЫВЙ КЛЮЧ
НА СЕРВЕРЕ
КРИПТОГРАФИЯ
САМОУНИЧТОЖЕНИЕ
ФАЙЛЫ БД ФАЙЛЫ БД
ВЕБ-СТРАНИЦЫФАЙЛЫ БД
+
КЛЮЧИ ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
CRYPNISCA CRYPRITUCRYPRADAM CRYPJOKERLECTOOL EMPER
MEMEKAP
НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ
LECTOOL EMPER CRYPRADAM
MEMEKAP
CRYPNISCA CRYPJOKER CRYPRITU
Маскируется под
прикрепленный PDF-
файл

10. Февраль 2016 — программы-вымогатели
САМОУНИЧТОЖЕНИЕ
ЛИЧНЫЕ
ФАЙЛЫ
ЛИЧНЫЕ
ФАЙЛЫ
LOCKYCRYPHYDRA
ИНСТРУМЕНТАРИЙ ДЛЯ
УДАЛЁННОГО ВЗЛОМА
SYNC MANGER
LOGGER
СПАМ В ВИДЕ СЧЕТА
НА ОПЛАТУ
Маскируется под
прикрепленный PDF-
файл
СПАМ СПАМ
1 BTC 0.5 - 1 BTC2 BTC
536 GBP
1.505 BTC0.8 BTC
$350
400 долларов заплатить
автору по инструкции
ФАЙЛЫ БД
ТОЛЬКО
ЛИЧНЫЕ ФАЙЛЫ
ВЕБ-СТРАНИЦЫ
+ ТОЛЬКО
ЛИЧНЫЕ ФАЙЛЫ
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
КЛЮЧ ШИФРРОВАНИЯ
БЕРЕТСЯ С C&C
ПУБЛИЧНЫЙ КЛЮЧ
БЕРЁТСЯ С C&C
ПУБЛИЧНЫЙ КЛЮЧ
БЕРЁТСЯ С C&C
ФАЙЛЫ БД
КОД
КОШЕЛЕК
MADLOCKERCRYPDAP CRYPZUQUITCRYPGPCODE
МАКРОС ИЛИ
ПРИКРЕПЛЕННЫЙ JS
НЕТНЕТНЕТНЕТНЕТ
CRYPGPCODE CRYPHYDRA CRYPDAP CRYPZUQUIT MADLOCKER LOCKY
ФОРМА ОПЛАТЫ
ЧИСЛО ДЕТЕКТОВ В
SPN
РАСПРОСТРАНЕНИЕ
ШИФРУЕМЫЕ
ДАННЫЕ
КРИПТОГРАФИЯ

11. ФОРМА ОПЛАТЫ
ЧИСЛО ДЕТЕКТОВ В
SPN
РАСПРОСТРАНЕНИЕ
ШИФРУЕМЫЕ
ДАННЫЕ
КРИПТОГРАФИЯ
Март 2016 — программы-вымогатели
САМОУНИЧТОЖЕНИЕ
ЛИЧНЫЕ
ФАЙЛЫ
ЛИЧНЫЕ
ФАЙЛЫ
KeRanger
ФАЙЛЫ С
МАКРОСАМИ
ИГРЫ
CRIPTOSO
1.18 – 2.37 BTC
$500 — $1000
TEAM VIEWER
ПЕРЕЗАПИСЫВАЕТ MBR
0.99 – 1.98 BTC
$431 — $862
1 BTC и
увеличивается на
1 BTC ежедневно
ФАЙЛЫ
ВОЗВРАТА
НАЛОГОВ США
COVERTON
1 BTC
ИНСТРУМЕНТАРИЙ
ДЛЯ УДАЛЁННОГО
ВЗЛОМА
СПАМ
СПАМ В ВИДЕ УСЛОВИЙ
ПРЕДОСТАВЛЕНИЯ УСЛУГИ
ПРИКРЕПЛЕННЫЙ МАКРОС,
ЗАГРУЖАЮЩИЙ КОД
ПОИСК РАБОТЫ СО
ССЫЛКОЙ НА DROPBOX
МАКРОС ИЛИ
ПРИКРЕПЛЕННЫЙ JS
ИНСТРУМЕНТАРИЙ
ДЛЯ УДАЛЁННОГО
ВЗЛОМА
+
1.24-2.48 BTC 1 BTC 1.3 BTC
ФАЙЛЫ БД ФАЙЛЫ БД
1.4 – 3.9 BTC
$588 — $1638
0.5 — 25 BTC
ФАЙЛЫ БД
RJL
ИГРЫ КОШЕЛЕК
ФИНАНСОВЫЕ
ФАЙЛЫ
ПУБЛИЧНЫЙ КЛЮЧ
БЕРЕТСЯ С C&C
КЛЮЧ AES ГЕНЕРИРУЕТСЯ
ЛОКАЛЬНОПУБЛИЧНЫЙ КЛЮЧ
БЕРЕТСЯ С C&C
ПЯТЬ ПАР КЛЮЧЕЙ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО. ОДИН КЛЮЧ
ТРЕБУЕТ КЛЮЧ RSA
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
Он разговаривает!
Уникально
Уникально
Сценарий на
Power shell
TESLA 4.0CERBER CRYPAURA PETYAMAKTUB SURPRISE
Powerware
НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ
CERBER CRYPAURA
KERANGER
TESLA
MAKTUB SURPRISE PETYA POWERWARE CRYPTOSO COVERTON
APPSTORE
http://blog.trendmicro.com/trendlabs-security-intelligence/cerber-crypto-ransomware-speaks-sold-russian-underground/

12. Copyright 2015 Trend Micro Inc.13 Copyright 2017 Trend Micro Inc.13
Программы-вымогатели в цифрах
– Форбс, февраль 2016
Число систем, заражаемых
Locky в день
90,000
$200-10k
Характерный размер
выкупа – ФБР, апрель 2016
69,000++
Число образцов,
обнаруженных в 2015 г.
– Trend Labs, 2016

13. Copyright 2016 Trend Micro Inc.14
Как это работает
Всевозможные каналы
проникновения
Данные шифруются
Требование выкупа Плати за
Расшифровку
данных
Восстанавливай из
резервной копии
ИЛИ

14. Подробнее: http://blog.trendmicro.com/trendlabs-security-intelligence/youtube-ads-lead-to-exploit-kits-hit-us-victims/
Более 100 тысяч жертв за 30 дней
Распространение через рекламные сети

15. Примеры сообщений, содержащих CryptoWall
1

16. BETTER CALL SAUL

17. Copyright 2016 Trend Micro Inc.18
Защита от программ-вымогателей
Обучение пользователей
Осведомленность, лучшие
практики, проверка
Улучшение уровня защиты
Последние версии, веб-
репутация, поведенческий
анализ, дополнительные
технологии
Отказ от выплаты выкупа
Выплата мотивирует
злоумышленников на
дальнейшие атаки
Своевременная установка
заплат
Минимизация вероятности
взлома через уязвимости
Контроль доступа
Ограничение доступа на запись к
важным для бизнеса данным для
большинства сотрудников
Резервное копирование (3-2-1)
Автоматизированное: три копии,
два формата, одна копия хранится
без подключения к сети

18. Copyright 2016 Trend Micro Inc.19
Защита Trend Micro от программ-
вымогателей
СЕТЕВАЯ
ЗАЩИТА
ГИБРИДНАЯ ОБЛАЧНАЯ
БЕЗОПАСНОСТЬ
ЗАЩИТА
ПОЛЬЗОВАТЕЛЯ
ВИЗУАЛИЗАЦИЯ
И УПРАВЛЕНИЕ

19. Copyright 2016 Trend Micro Inc.20
Цели программ-вымогателей
Серверы
Атак на сервера
относительно мало,
но урон может быть
очень большим
Большая часть
программ-
вымогателей
использует
известные
уязвимости
Vulnerability Shielding
against unknown
threats
Blocks lateral
movement

20. Copyright 2016 Trend Micro Inc.21
Сеть
Серверы
Цели программ-вымогателей
Вероятная точка
входа
Распространение к
другим
пользователям и на
серверы

21. Пользователи
Сети
Цели программ-вымогателей
Серверы
Конечные точки —
самая вероятная
цель
Веб и целевой
фишинг —
наиболее
типичные методы
атаки

22. «Песочница» Экранирование
уязвимостей
Контроль
приложений
Веб-шлюз
Шлюз
электронной
почты
Контроль
поведения
программ-
вымогателей
Выявление
особых угроз
Защита от
целевого фишинга
Репутация
сайтов и IP-
адресов
«Песочница»
Экранирование
уязвимостей
Конечный узелСетьСервер

23. Most ransomwares can be
stopped on gateway level
The last defense is Anti-Ransomware
feature to proactively detect & block
ransomware execution
Effective Layered Protection
Copyright 2016 Trend Micro Inc.

24. Copyright 2016 Trend Micro Inc.25
Объединенная защита от угроз: Лучшая и более быстрая защита
Централизованная
сквозная визуализация,
анализ и оценка
влияния угроз
Оперативная
реакция, благодаря
своевременной
информации об
угрозах и обновлений
в реальном времени
Детектирование особых
типов вредоносного
кода и странного
поведения сети, не
заметных для
стандартных средств
безопасности
Выявление
потенциальных
уязвимостей и
превентивная
защита конечных
точек, серверов и
приложений
ЗАЩИТА
ОБНАРУЖЕНИЕ
РЕАКЦИЯ
ВИЗУАЛИЗАЦИЯ
И УПРАВЛЕНИЕ

25. Защита от программ-вымогателей на
конечных точках
1. Традиционный подход
– Зависит от сигнатур
программ-вымогателей
– Предоставляет
специальные инструменты
для сдерживания
распространения
3. Передовые технологии
– Контроль приложений с целью
выявления процессов,
шифрующих файлы
– Исключение из анализа
легитимных процессов
– Блокировка и перемещение в
карантин
Конкурирующие решения в основном используют первый и
второй подходы, в то время, когда продукты Trend Micro
используют все три, а также подход на основе белых списков
2. Поведенческий анализ
– Выявляет поведение,
характерное для
программ-
вымогателей

26. Copyright 2015 Trend Micro Inc.27 Copyright 2017 Trend Micro Inc.27
Уязвимости АСУ ТП

27. IoT, IoV, IoE… Концерн Fiat Chrysler отзывает 1,4
миллиона машин из-за уязвимости

28. Confidential © 2017 Trend Micro Inc.
Магический квадрант
Гартнера для систем
защиты конечных точек
Январь 2017
This graphic was published by Gartner, Inc. as part of a larger research
document and should be evaluated in the context of the entire document. The
Gartner document is available upon request from
https://resources.trendmicro.com/Gartner-Magic-Quadrant-Endpoints.html
Gartner does not endorse any vendor, product or service depicted in its research
publications, and does not advise technology users to select only those vendors
with the highest ratings or other designation. Gartner research publications
consist of the opinions of Gartner's research organization and should not be
construed as statements of fact. Gartner disclaims all warranties, expressed or
implied, with respect to this research, including any warranties of merchantability
or fitness for a particular purpose.

29. Copyright 2017 Trend Micro Inc.
ЛИДЕР РЫНКА
защиты серверов в
течение последних
семи лет
S****tec
In**l
Other
30%
Source: IDC, Securing the Server Compute Evolution: Hybrid Cloud
Has Transformed the Datacenter, January 2017 #US41867116

30. Приглашаю на наш стенд!
Copyright 2017 Trend Micro Inc.
Карен Карагедян (karen_karagedyan@trendmicro.com)