CLASS 2016 - Palestra Marcelo Branquinho

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Panorama atual de segurança das redes de automação brasileiras

Marcelo BranquinhoMaio de 2016

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Sejam bem vindos ao CLASS 2016


Vejam o relatório na sacola do evento.


Nova metodologia do Rela tórioNova metodologia do Rela tório

• Nesta nova versão do relatório o método de coleta de dados de incidentes em nossos clientes foi aprimorado.

• Passamos a utilizar um NGFW (Next Generation Firewall ou Firewall de Próxima Geração) operando em camada 7 (camada de aplicação) para a coleta não somente dos dados dos incidentes de segurança como também detalhes técnicos sobre Malware, aplicativos de alto risco sendo executados nas redes de automação e as principais vulnerabilidades exploradas.

• Com isto houve um aumento relevante no número de incidentes de segurança detectados e foi gerado um relatório com uma maior visibilidade das ameaças às redes de automação críticas das infraestruturas de nossos clientes.


Vamos aos Vamos aos resultados ...resultados ...


2015 – Explosão de incidentes SCADA no Bras il2015 – Explosão de incidentes SCADA no Bras il


Infecções por Malware em IC Bras ile iras

• Fonte: 2o Relatório Anual TI Safe sobre incidentes de segurança em redes de

automação brasileiras (2016)

• Incidentes computados de Setembro de 2008 a Dezembro de 2015

• Dados obtidos somente de clientes da TI Safe no Brasil


Tipos de Malware descobertosTipos de Malware descobertos


Aplica tivos de a lto risco em execuçãoAplica tivos de a lto risco em execução


Vulnerabilidades em protocolos SCADAVulnerabilidades em protocolos SCADA

As vulnerabilidades dos aplicativos SCADA encontradas nas redes de nossosclientes foram classificadas por protocolo e quantidade e apresentadas na tabela abaixo:


• Nenhuma das organizações pesquisadas afirmou ter um processo de gestão de incidentes de

segurança cibernética industrial desenvolvido e em produção.

• Em 24% das empresas este processo não existe, e 27% atuam de forma reativa quando

ocorrem incidentes de segurança.

• No entanto, 45% das empresas pesquisadas afirmaram estar definindo este processo.

Gestão de incidentes de segurança ciberné tica no Bras il

Fonte: Pesquisa realizada pela TI Safe no ano de 2014


O cenário é ruim, mas dá pra piora r??O cenário é ruim, mas dá pra piora r??


Infe lizmente SIM.....Infe lizmente SIM.....

Referência: Symantec


Os a tacantes descobriram Os a tacantes descobriram como ganhar MUITO como ganhar MUITO

dinhe iro com a taques a dinhe iro com a taques a infraes truturas críticas !infraes truturas críticas !

2016 – O Ano do Ransomware SCADA


Ransomware – A próxima ameaça às ICs



Hospita l infectado por Ransomware

• Nesse caso, o departamento tinha backups de seus sistemas e se recusaram a pagar o resgate aos criminosos.

• Por volta de 05 de fevereiro de 2016 , os sistemas pertencente ao Hospital Central Presbiteriano de Hollywood foram infectados com o Locky ransomware.

• Depois de dez dias, o governo pagou aos atacantes 40 Bitcoins ($ 17.000) para libertar os sistemas.

• Naquela mesma semana, cinco computadores pertencentes ao Departamento Regional de saúde de Los Angeles foram infectados com uma variante ransomware.


O que é Ransomware?

• Ransom = Resgate

• Ransomware é um tipo de

Malware que impede o

acesso do usuário aos seus

dados.

• O usuário só recuperará o

acesso aos dados mediante

o pagamento de um resgate

(Ransom)

• Afetam diretamente a

disponibilidade de sistemas

ao bloquear o acesso a

informações vitais para seu

funcionamento.


A Evolução do Ransomware


Tipos de Ransomware

• Ransomware de Bloqueio

Transmitido através de Engenharia Social e campanhas de phising,

principalmente.

Restringe o acesso do usuário aos sistemas infectados.

Certas vezes, o Ransomware de bloqueio pode ser removido facilmente,

restaurando o sistema para um ponto de restauração pré-definido ou

implementando uma ferramenta de remoção comercial.

2016 promete ser o ano em que o Ransomware de bloqueio

ressurgirá, porque ele pode infectar tecnologias emergentes, como

telefones celulares, sistemas de controle (SCADA) e sistemas

conectados à "internet das coisas“.


Smartphone com Ransomware de bloque io


Tipos de Ransomware• Ransomware de Criptografia

Mais robusto, o Ransomware de Criptografia restringe a ação do usuário, negando o acesso à interface do usuário

Segmenta os dados e sistemas de arquivos do dispositivo.

Permite que os usuários acessem a internet para comprar moedas criptografadas no mercado virtual (algumas variantes de Ransomware de Criptografia fornecem aos usuários um site para comprar Bitcoins e artigos explicando a moeda).

Determinam uma chave assimétrica única para cada sistema infectado e limpam a chave de sessão da memória quando tiverem terminado a infecção.


Exemplos de Ransomware de Criptografia• Locky:

Em 5 de Fevereiro, 2016, sistemas médicos pertencentes a Hollywood

Presbyterian Medical Center foram infectados com o ransomware Locky. Dados de

saúde permaneceram inalterados, mas,computadores essenciais para o trabalho de

laboratório, tomografia computadorizada, sistemas de sala de emergência, e

farmácia foram infectados.

Os cibercriminosos exigiram um resgate de 9000 Bitcoins ($ 3,6 milhões).

Porém, depois de quase duas semanas negociando, o presidente do Centro

Médico pagou um resgate de 40 Bitcoins ($ 17.000) para desbloquear suas

máquinas.

• A Forbes afirma que o Locky ransomware infecta aproximadamente 90.000

sistemas por dia e que normalmente pede aos usuários de 0,5-1 Bitcoin (~ $ 420)

para desbloquear seus sistemas.

• O Locky criptografa arquivos com chaves RSA-2048 e AES 128 cifras.


Tela de bloqueio - Locky


Exemplos de Ransomware de Criptografia

• CryptoLocker:

Cryptolocker é um trojan que começou infectando sistemas Windows

através da botnet Gameover Zeus, criptografando os dados do host com

chave publica de criptografia RSA .

Cryptolocker instala no perfil do usuário uma pasta e adiciona uma chave

no registro do sistema para que seja executada na inicialização.

Em seguida, ele se conecta a um dos seus servidores C2 e gera um par de

chaves RSA de 2048 bits , armazenando a chave privada nesse servidor.

Daí, ele envia a chave pública de volta para a máquina da vítima .

O trojan criptografa documentos, imagens e arquivos nos discos rígidos

locais e unidades de rede mapeadas com a chave pública.


Tela de bloqueio - CryptoLocker


Exemplos de Ransomware de Criptografia

• CryptoWall / CryptoDefense/ CryptoBit:

Esse Ransomware é responsavel por excluir cópias de sombra de arquivos

para, em seguida ganhar privilégios de usuário para tentar se conectar aos

proxies I2P a fim de encontrar um servidor de comando e controle ao vivo

usando um valor de hash que é criado, tomando um numero que é

aleatoriamente gerado seguido por um valor de identificação único.

O servidor responde com uma chave pública única e fornece notas de resgate.

Depois disso, a historia se repete ...

As notas são colocadas em todos os diretórios onde os arquivos vítima são

criptografadas e, em seguida, o Internet Explorer é iniciado com uma página do

visor bilhete de resgate.


Tela de bloque io - CryptoWall


Vetores de infecção

• Sistema de Distribuição de Trafego (TDS): redirecionam o tráfego da web

para um site de hospedagem infectado. Normalmente sites de conteúdo adulto,

serviços de streaming de vídeo ou sites de pirataria de mídia. Infecta a máquina

através do download do malware.

• Malverstiment: anúncio malicioso que pode redirecionar os usuários de um site

infectado. Pode parecer legítimo e até mesmo confiável.

• E-mails de Phishing: usam da ingenuidade de usuários, que são culturalmente

treinados para abrir e-mails e clicar em anexos e links.

• Downloaders: Malwares são entregues em sistemas através de estágios de

downloaders, para minimizar a probabilidade de detecção baseada em

assinaturas. Nesse contexto, criminosos pagam outros criminoso que já tem uma

máquina infectada com seus dados extraviados, ou com infecção previamente

acidental. Ele utiliza um malware na rede infectada e repassa o controle deste

ao downloader.

• Sistema de Distribuição de Trafego (TDS): redirecionam o tráfego da web

para um site de hospedagem infectado. Normalmente sites de conteúdo adulto,

serviços de streaming de vídeo ou sites de pirataria de mídia. Infecta a máquina

através do download do malware.

• Malverstiment: anúncio malicioso que pode redirecionar os usuários de um site

infectado. Pode parecer legítimo e até mesmo confiável.

• E-mails de Phishing: usam da ingenuidade de usuários, que são culturalmente

treinados para abrir e-mails e clicar em anexos e links.

• Downloaders: Malwares são entregues em sistemas através de estágios de

downloaders, para minimizar a probabilidade de detecção baseada em

assinaturas. Nesse contexto, criminosos pagam outros criminoso que já tem uma

máquina infectada com seus dados extraviados, ou com infecção previamente

acidental. Ele utiliza um malware na rede infectada e repassa o controle deste

ao downloader.


Vetores de infecção (cont.)

• AutoPropagação: Ocorre quando aplicações são baixadas a partir de uma loja

de aplicativos ou se espalham através de disparos de SMS em uma lista de

contatos a partir de uma vitima inicial.

• Ransomware as a Service (RaaS): esta é a forma de ransomware como um

serviço, por meio do qual script kiddies (criminosos amadores) podem usar o

ransomware desenvolvido por criminosos experientes para explorar as vítimas em

troca do pagamento de uma comissão (5-20% do valor do resgate).

• Engenharia Social e Sabotagem: malware é disseminado de forma intencional

por funcionários e colaboradores da empresa que tenham sido préviamente

subornados.


Vítimas do Ransomware

• Usuários comuns: usuários que são facilmente pressionados ou que não são

fluentes em soluções técnicas para Ransomware são os alvos mais viáveis.A

maioria dos usuários não faz consistentemente o backup de seus dados e nem

seguem procedimentos básicos de segurança cibernética para mitigar o impacto de

um ataque por Ransomware.

• Empresas: empresas são os principais alvos de Ransomware , porque os seus

sistemas são os mais propensos a abrigar bases de dados confidenciais valiosos,

documentos importantes e outras informações. Além disso, elas são as mais

prováveis para pagar o resgate, a fim de retomar rapidamente as operações .

• Polícia: Serviços de polícia e federais são muitas vezes alvo de ataques de

malware em resposta a seus esforços para investigar e prender criminosos

cibernéticos.


Vítimas do Ransomware (cont.)• Hospitais e Serviços de emergência: nestes alvos a perda do sistema pode

custar vidas, e são um dos preferidos para atacantes via ransomware.

• Instituições de Ensino: faculdades e universidades são alvos interessantes pois

possuem fundos suficientes para pagar um resgate considerável.

• Instituições Financeiras: as instituições financeiras são o grande setor alvo de ransomware, e já existem inúmeros casos de ataques documentados no mundo.

Infraestruturas críticas: a indisponibilidade de sistemas SCADA em infraestruturas críticas pode levar a perdas inestimáveis, financeiras, humanas e ambientais. Desta forma resgates na ordem de milhões de dólares são cobrados de empresas que tem sua produção ou abastecimento paralisados. Além disso as redes de automação não possuem a segurança mínima necessária para se contrapor a este tipo de ataque, além de não ter equipes adequadamente treinadas.


Sis temas Alvo• Dispositivos Móveis: hoje quase toda a população mundial tem ao menos um tipo de dispositivo móvel, vulneravel à ataques ransomware.

• Servidores: nele estão armazenados documentos de uma organização, bases de dados, propriedade intelectual, arquivos pessoais, listas de clientes, planejamentos de produção, dados de billing e outros recursos intangíveis. Apesar do valor destes dados, as organizações falham regularmente para assegurar, atualizar e corrigir os sistemas. Mesmo que a organização tenha um plano de recuperação de desastres, a quantidade de tempo necessária para reverter para um sistema crítico pode ser inaceitável.

• Dispositivos IoT: na internet das coisas, o cibercriminoso ransomware tem maior poder sobre vítimas. Imagine um ransomware infectando um sistema de temperatura digital de uma casa. Ou algo ainda mais impactante; um sistema de controle central de um avião?

Sistema SCADA: sistemas de controle de infraestruturas críticas podem ser facilmente paralisados no caso de um ataque por Ransomware em um vetor de infecção de Worm com espalhamento automático.


A Economia do Ransomware• Para que criminosos ransomware lucrem, eles devem confiar em explorar a

natureza humana, e não a sofisticação técnica. Os seres humanos tendem a pagar

pelo resgate para que seus sistemas voltem a operar o mais breve possível.

• O custo para os usuários depende diretamente do prejuízo que as empresas tem

com a indisponibilidade de seus sistemas. Quanto mais caro o prejuízo, mais alto o

valor do resgate.

• Os usuários individuais têm uma baixa capacidade de pagar, enquanto empresas

e infraestruturas críticas, por serem de maior porte, podem pagar resgates de

maior valor.

• Os atacantes são pagos geralmente em moedas da Deep Web, como o Bitcoin

ou o Darkcoin, que são moedas moedas criptografadas (Cryptocurrencies) e com

difícil rastreamento, mantendo o anonimato do atacante.

• Cryptocurrencies são tipicamente adquiridas através da Dark Web acessada

através do browser Tor.


Entendendo a Dark Web e o Bitcoin


O que fazer para evita r o Ransomware

• Ter um time de Segurança da Informação preparado: é responsabilidade da

equipe de segurança da informação garantir que todos os sistemas foram

atualizados e possuem soluções anti-malware instaladas.

• Treinamento e sensibilização: o pessoal da empresa precisa ser treinado para

reconhecer e evitar os vetores de ataque por Ransomware. Os seres humanos

são o elo mais fraco. Os funcionários devem ser treinados para reconhecer um

link ou anexo maliciosos.

• Políticas e Procedimentos: os usuários devem saber quais atividades são

permitidas na rede. Eles devem saber como reconhecer atividades suspeitas e

para quem elas devem ser relatadas.

Ter implementada uma estratégia de defesa em camadas: o modelo de

defesa de rede em camadas tem o objetivo de retardar o adversário e detectar

a sua presença em tempo para reagir à intrusão.


Implementar Defesa em Camadas

• Para a implementação do modelo de defesa em camadas são necessários

mecanismos de proteção e sistemas de detecção próprios para redes

industriais, além de um sistema de inteligência de segurança que seja capaz

de alertar e bloquear as ameaças em tempo real.


Metodologia ICS.SecurityFramework

DETECÇÃO, DEFESA E CONTROLE INTEGRADO DE AMEAÇAS DETECÇÃO, DEFESA E CONTROLE INTEGRADO DE AMEAÇAS

PARA SISTEMAS DE INFRAESTRUTURAS CRÍTICASPARA SISTEMAS DE INFRAESTRUTURAS CRÍTICAS

ANSI/ISA.99

• Metodologia desenvolvida pela TI Safe para

organizar, executar e operar a segurança da

informação em sistemas industriais e

infraestruturas críticas:

• Implementa as boas práticas descritas no

CSMS (Cyber Security Management System) da

norma ANSI/ISA-99

• Acelera o processo de conformidade da

segurança cibernética e atende às

necessidades de T.I. e T.A. em um framework

único.

• Gerenciamento centralizado do

monitoramento, defesa e controle de ameaças.

•Garante a atualização das bases de

dados de assinaturas e vulnerabilidades

para todos os componentes de

segurança.

•Facilita a identificação de ameaças e

isolamento de incidentes.

•Produz trilha confiável para

rastreabilidade dos eventos.

•Fornece detalhados relatórios de

auditoria.


Módulos do ICS.SecurityFramework


E se o pior acontecer?

Quando a mitigação falhar, é importante para organizações e indivíduos

considerarem todas as possíveis respostas a um ataque Ransomware. São elas:

• Acionar o Time de Resposta a Incidentes: A equipe de segurança da informação

deve ter previamente planejado um procedimento a seguir em caso de um ataque

ransomware, durante sua avaliação de riscos. A equipe de resposta a incidentes deve

começar por notificar as autoridades e órgãos reguladores pois ataques Ransomware

são crimes prescritos em lei.

• Tentar recuperar os dados perdidos: Backup e recuperação do sistema são a

única solução para reverter ataques por ransomware. Ter backups atualizados é vital

em casos de perdas de dados críticos. Neste caso, bastará realizar um recover dos

sistemas e dados para voltar à atividade normal da empresa.

• Fazer nada: em casos onde o resgate supera o custo do sistema, a vítima pode

comprar um novo dispositivo e dispor do sistema infectado.


E se o pior acontecer? (cont.)

• Pagar o Resgate: alguns atacantes podem liberar o sistema após receber o

pagamento, porque fazer o contrário iria reduzir a probabilidade de que novas vítimas

venham a cair no golpe. Porém, infelizmente, não existe nenhuma garantia que os

atacantes ficariam com os dados após o resgate pago.

• Uma Solução Hibrida: inclui esforços simultâneos para pagar o resgate e tentar

restaurar os sistemas a partir de um backups confiáveis. Organizações optam por

esta estratégia quando o tempo de inatividade do sistema é ainda mais crítico que as

consequências do pagamento do resgate.


Video – Ataque por Ransomware no Bras il


Um deta lhe importante ....

• Ransomwares modernos são capazes de procurar servidores e aplicações de backup em execução na rede e criptografá-los também...

• Nestes casos, a única solução possível será pagar o resgate.• Pagar resgates pode ser fácil para instituições privadas, mas

empresas públicas não tem verba alocada para isto... Teriam que licitar..


ConclusãoConclusão

• O aumento da atividade hacker no Brasil e a evolução dos ataques direcionados a redes de automação aumentou vertiginosamente no ano de 2015.

• Somente durante este ano foi notada uma quantidade de incidentes de segurança maior que a dos anos de 2008 a 2014 somados, o que representa um crescimento alarmante.

• As infraestruturas críticas brasileiras devem despertar urgentemente para este cenário e implementar controles de segurança que vão de encontro ao cenário de ameaças que acabo de apresentar.

• Não há mais tempo a perder...é preciso implementar políticas e soluções tecnológicas para defesa em camadas já!


Aprove item o CLASS 2016Aprove item o CLASS 2016

Marcelo [email protected]

Technology

CLASS 2016 - Palestra Marcelo Branquinho