Dagens trusselsbillede del 1

Transkript

1 Dagens trusselsbillede del 1 Jacob Herbst, CTO, Dubex A/S IDA-IT Gå-hjem-møde, den 5. oktober 2017

2 Agenda Hvad er tendenser og drivere? Hvilke angreb og hændelser oplever vi i øjeblikket? Hvem angriber os og hvordan arbejder de? Hvordan har ransomware udviklet sig? PAUSE Hvad er de forskellige ransomware varianter, herunder WannaCry og Petya? Hvad er fremtidsudsigterne? Hvad kan vi gøre?

3 Dubex A/S Højt specialiserede it-sikkerhedseksperter Kvalitet Service Kompetence Managing risk Enabling growth First mover Konsulent- og sikkerhedsydelser lokalt og globalt Eftertragtet arbejdsplads Motiverede medarbejdere Største it-sikkerhedspartner i Danmark Selvfinansierende og privatejet siden bedste ITarbejdsplads i Danmark 35. bedste arbejdsplads i Danmark

4 Danmarks førende it-sikkerhedsspecialist Technology focus Process focus Business focus Managing risk, enabling growth Vi er altid på udkig efter muligheder for at styrke vores kunders forretning og understøtte vækst. Vi hjælper med at balancere dine forretningsmål og et acceptabelt risikoniveau for it-sikkerhed.

5 Prioritering af sikkerhed INFORMATION er blevet virksomheders vigtigste asset Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer

6

7 Digital business Trust & Resilience

8 Fysisk Digital Digital business Trust & Resilience Mennesker Teknologi

9 Mere af alting Flere brugere 3 mia. i mia. i 2019 $90 billioner i tabt globalt BNP, worst case mod 2030 Flere tablets 248 mio. i mio. i 2019 Flere SmartPhone brugere 3,5 mia. i ,9 mia. i 2020 $3 billioner i samlet tabt innovation pga, cyber-risici i 2020 Flere wearables 72 mio. i mio. i 2019 Flere IP forbundne enheder 16,3 mia. i ,4 mia. i 2019 ~$450 milliarder i årlig tab pga. cyberkriminalitet IoT enheder 15 mia. i mia. i 2020 Mere netværkstrafik 72,4 exabyte pr. mdr. i exabyte pr. mdr. i % stigning i cyberkriminaltet i de sidste 5 år Globalt cloud-marked $97 mia. i 2015 $159 mia. i 2020 Mere data 8,8 zetabyte i zetabyte i % af organisationer rapporterer cyberkriminalitet Internettrafik pr. md./bruger 18.9 gigabytes i gigabytes i 2020 Exabyte = Zetabye = 20 21

10 Informations -sikkerhed ICSsikkerhed Cybersikkerhed It-sikkerhed Digital sikkerhed Digitial sikkerhed IoTsikkerhed Fysisk sikkerhed

11 V.S.

12 Distributed Denial of Service angreb Angriber - Command & control server

13 Miria botnet Mange IoT-enheder har offentligt eksponerede administrative porte kun beskyttet med standard password Enhederne mangler sikkerhedssoftware såsom firewall og anti-virus Private og mindre virksomheder, der mangler sikkerhedsforståelse til at beskytte enhederne Typisk IoT udstyr er forbundet til Internettet hele tiden Angribere behøver ikke at beskæftige sig med social engineering, spoofing eller dyre zero day angreb

14

15

16 Det sårbare Internet Denial of Business

17 "In the last week of the quarter we were hit by a cyber-attack, which mainly impacted Maersk Line, APM Terminals and Damco. "Business volumes were negatively affected for a couple of weeks in July and as a consequence, our Q3 results will be impacted. We expect that the cyber-attack will impact results negatively by USD $ M." Søren Skou, CEO of A.P. Moller-Maersk

18 The worldwide operations of TNT Express were significantly affected during the first quarter by the June 27 NotPetya cyberattack. Most TNT Express services resumed during the quarter and substantially all TNT Express critical operational systems have been restored. However, TNT Express volume, revenue and profit still remain below previous levels. Omkostninger: USD 300 mio.

19

20

21 Sårbarheder Automatisk spredning Vidensudveksling

22 Internettet er grundlæggende sårbart og det er vi nødt til at forholde os til, og sikre den krævne robusthed i vores løsninger og infrastruktur

23 ...If security breaks down, technology breaks down, business breaks down

24

25 Politisk manipulation From Russia with love Angreb på selve valgprocessen Angreb på og kompromittering af valgmaskiner Angreb på vælgerregistreringssystemer Hacker angreb hvor fortrolig information stjæles Offentliggørelse af kompromitterende information WikiLeaks // Julian Assange platform for afsløringerne Præsidentvalg 2016 Brexitafstemning 2016 Præsidentvalg 2017 Forbundsdagsvalg 2017

26 Politisk manipulation From Russia with love Forsøg på at påvirke resultatet af det amerikanske præsidentvalg Hacker angreb på bl.a. The Democratic National Committe (DNC) Kompromittering af Hilary Clinton via lækkede s WikiLeaks // Julian Assange platform for afsløringerne Angreb på det amerikanske valgsystem Angreb på selve valgprocessen Angreb på og kompromittering af elektroniske valgmaskiner Angreb på vælgerregistreringssystemer We are doing an awful lot of work through our counter-intelligence investigators to understand just what mischief is Russia up to in connection with our elections, James Comey, FBI Director

27 From Russia with love konkurrerende Russiske hackergrupper Fancy Bear Baggrund: Også kendt som Sofacy, APT 28 Omfattende målrettede angreb på forsvarsministerier og militære mål Mistænkt GRU, Ruslands primære militære efterretningstjeneste Stjæler offer login information ved spoofing af web-baserede tjenester Bag angreb på den tyske Forbundsdag og Frankrigs TV5 Monde samt World Anti- Doping Agency - WADA DNC angrebet Kompromitterede DNC i april 2016 Anvendte seks dag-0 sårbarheder i DNC angrebet Cozy Bear Baggrund: Også kendt som CozyDuke, APT 29 Omfattende angreb bl.a. knyttet til angreb på uklassificerede netværk hos det Hvide Hus, State Department og amerikanske Joint Chiefs of Staff Mistænkt for at være tilknyttet den rusiske Federal Security Service (FSB) Bruger sofistikerede Remote Access Kit med omfattende anti-analyseteknikker Brede målrettede spearphish angreb DNC angrebet Kompromitterede DNC i sommeren 2015

28 Opfølgning USA: Det er officielt - Rusland står bag hacking af vores valg Amerikanske myndigheder er overbeviste om Rusland står bag hacking-angreb mod det amerikanske præsidentvalg FREDAG D. 7. OKTOBER 2016 KL. 22:09 // Poul Høi Sound technicians work on their boom mike as stage construction continues for the 2nd US Presidential debate, on October 7, 2016, at Washington University in St. Louis, Missouri. US Presidential Republican nominees Donald Trump and Democrat nominee Hillary Clinton will debate for the second time October 9, / AFP PHOTO / PAUL J. RICHARDS De amerikanske efterretningsmyndigheder siger nu direkte, at det er russiske statshackere, som står bag forsøgene på at påvirke det amerikanske præsidentvalg. Konklusionen kommer i en fællesudtalelse fra sikkerhedsministeriet DHS og UCIS, som er paraplyorganisationen for samtlige amerikanske efterretningsorganisationer, bl.a. NSA, CIA og FBI. De fastslår også, at statshackerne gemmer sig bag forskellige aliaser, og at de lækker oplysningerne hos Julian Assange og Wikileaks, og at de er overbeviste om, at ordren kommer helt fra toppen i Kreml, formentlig fra præsident Putin.»UCIS er sikker på, at den russiske regering står bag de nylige kompromitteringer af s fra amerikanske enkeltpersoner og organisationer, heriblandt amerikanske politiske organisationer. De nylige afsløringer af hackede s på site ssom DCLeaks og Wikileaks og af online-synonymet Guccifer 2.0 er i tråd med de metoder og motiver, som Rusland bruger. Tyverierne og afsløringerne søger at påvirke det amerikanske valg.den slags er ikke nyt for Moskva - russerne har brugt tilsvarende taktikker og teknikker flere steder i Europa og Asien, bl.a. for at influere den offentlige mening der. Vi er overbeviste om - baseret på rækkevidden og følsomheden i disse initiativer - at kun de allerøverste politiske organer i Rusland kan have givet ordre om disse aktiviteter.«udgiftsbilag og dødslister: Nu er det Putin, der bliver hacket Ukendte hackere lækker følsomme s fra en af Vladimir Putins nærmeste rådgivere. Muligt amerikansk svar på russiske hackerangreb, siger efterretningsekspert. TORSDAG D. 27. OKTOBER 2016 KL. 09:01 // Simon Kruse Foto: VLADIMIR RODIONOV I kølvandet på de mange hackerangreb mod USA har en af Vladimir Putins nære medarbejdere nu fået samme metode at føle. Tusinder af beskeder fra en konto i det russiske regeringsapparat er blevet stjålet og offentliggjort af ukrainske hackere. Kontoen tilhører ifølge hackerne Vladislav Surkov, en af Vladimir Putins nærmeste rådgivere. Vladislav Surkov har i to år haft indrejseforbud i EU på grund af sin rolle under Ruslands annektering af Krim-halvøen i Det vakte derfor stor opmærksomhed, da Vladimir Putin i sidste uge tog Surkov med til Berlin til et topmøde med blandt andre Angela Merkel om fredsprocessen i Ukraine. Her sad han og Putin side om side ved forhandlingsbordet på de officielle fotografier. Amerikansk modsvar Det er en hidtil ukendt ukrainsk hackergruppe ved navn CyberHunta, der tager æren for det seneste læk. Ifølge efterretningseksperter tyder meget dog på, at aktionen i virkeligheden er første runde af en amerikansk hævnaktion efter spektakulære hackerangreb på det Demokratiske Parti og på valgsystemer i to amerikanske stater. Så sent som i sidste uge varslede CIA-kilder over for den amerikanske tv-station NBC en "cyberaktion uden fortilfælde" i kølvandet på de tilsyneladende russiske hackerangreb.

29

30 Sociale medier & fake news Afsløring af fortrolige informationer Statssponseret politisk hacking

31 Cyber-angreb påvirker og manipulerer med de grundlæggende demokratiske strukturer i vores samfund

32 Business Compromise - CEO/CFO Scam Svindel målrettet medarbejdere der er autoriseret til at overføre penge Rammer ofte i ferieperioder når den normale beslutningstager er væk Ofte utrolig dygtigt gennemført med et stort forudgående arbejde med at afdække personer og processer i den ramte virksomhed Hacking anvendes stadig oftere for at gøre angrebet endnu mere sofistikeret fx via kompromittering af virksomheds mailsystem

33

34 Interception of SMS messages - Hacking Signaling System No. 7 VLR MSC Attacker Global SS7 network VLR MSC Interception of SMS messages Interception of outgoing calls Redirection of in- or outgoing calls

35 Legacy systemer mangler sikkerhed Manglende forståelse for sårbarheder Maglende fokus på opgradering

36 Hændelser - eksempler

37 Hændelser GovCERT: 250 alvorlige angreb mod ministerier og virksomheder på tre år Siden 2010 har GovCERT registreret flere hundrede alvorlige angreb på de ministerier, styrelser og virksomheder, der er en del af netsikkerhedstjenesten. Nu vil GovCERT have loven ændret. Af Christian Loiborg Torsdag, 6. februar :29 Mere end sikkerhedshændelser er blevet registreret af GovCERT siden Det fremgår af et udkast af en evaluering af GovCERT-loven. GovCERT er det danske forsvars it-sikkerhedsorganisation og opererer den såkaldte netsikkerhedstjeneste, som statslige organisationer og myndigheder og styrelser frivilligt kan tilslutte sig. Herudover kan kommuner samt private virksomheder med kritisk infrastruktur tilslutte sig. Eksempelvis har 16 ud af 19 ministerier, Region Hovedstaden, Hillerød Kommune og Odense Kommune meldt sig til, ligesom Dong, KMD og TDC også er en del af netsikkerhedstjenesten. Ifølge GovCERT er en fjerdedel af de sikkerhedshændelser alvorlige. Det omfatter bl.a. overbelastningsangreb, som eksempelvis DDoS-angreb, og APT-angreb - Advanced Persistent Threat. GovCERT er en del af Center for Cybersikkerhed. Centeret har tidligere vurderet, at APT-angreb er den største trussel mod dansk cybersikkerhed. De resterende angreb omfatter fund af tegn på virusinfektioner - eksempelvis med malware. Menneskelig fejl kan være årsag til cyberangreb mod kommuner Angreb som det, der har ramt Gribskov kommune, skyldes oftest menneskelige fejl men Danmark kan være i sigtekornet netop nu, mener ekspert. Af Mads Allingstrup / 22. JAN KL Mens Gribskov, Nordfyns og måske endnu flere kommuner netop nu kæmper med at slippe fri af et nedrigt angreb mod deres IT-systemer, er der sansynligvis en eller flere ansatte i kommunerne, der går rundt med røre øren Ransomware-angreb skyldes nemlig oftest menneskelige fejl, hvor folk kommer til hente en

38 Dubex Security Analytics Center & Dubex Incident Response Team Ransomware Man-in-the-middle angreb på VPN forbindelse i Kina Ukendt Malware Ransomware tager dine data som gidsel ved at kryptere dem. Herefter tilbyder bagmændene at sælge dig nøglen. CEO-scam / målrettet svindel Kompromiterede web-servere Dubex Security Analytics Center Monitoring observationer: Interne systemer med malware Phishing-angreb Angreb mod webservere Brute force-angreb eks. ftp, ssh og SIP Mistænkelig trafik Uautoriseret trafik Andet skanninger Målrettet malware

39 Typiske observationer Interne systemer med malware/trojanske heste Phishing angreb Ransomware Angreb mod web-servere Sårbarheder, SQL injection, Ransomware og deface Bruteforce password cracking Scanning efter SIP services Uautoriseret & mistænkelig trafik CEO/CFO scam Andet scanninger

40 Hvem angriber os? Spionage Konkurrenter Terrorisme Politiske & aktivister Cyberkrig Kriminelle Angreb Interne

41 Hvem og hvorfor bliver vi angrebet? Organiserede kriminelle Stater og regeringer (efterretningstjenester) Politiske aktører (aktivister & terrorister) Vandaler Interne Økonomisk berigelseskriminalitet Industrispionage Politisk motiveret Vandalisme Internetsvindel (CEO fraud) Tyveri af kreditkortinformation Identitetstyveri Denial of Business DDoS & Ransomware Målrettede angreb efter fortrolige informationer Informationlækage Sabotage

42 Hvordan bliver vi angrebet? - aktuel status Metoder Angreb, der omgår perimeterforsvaret Angreb via tredjepart Angreb mod brugere Social engineering angreb f.eks. phishing Angreb via sociale netværk Webbaserede angreb Indirekte angreb rettet mod klienter Indirekte angreb via betroede eksterne tredjeparter Angreb sløret i krypteret ssl-kommunikation Sårbarheder og avancerede dag-0-angreb Hurtig udnyttelse af sårbarheder Udnyttelse af ukendte sårbarheder dag-0 Unik og målrettet malware Angreb uden malware scriptbaserede IoT og Cloud. Angreb via tredjepart Målrettede angreb er simple Avancerede angreb er blevet det normale Living-ofthe-Land Phishing e- mail Ukendt dag- 0-malware

43 Alle angreb er avancerede angreb Regeringers cybervåben overfører avanceret teknologi til kriminelle Social engineering Indirekte angreb via betroede eksterne tredjeparter

44 Hvorfor bliver vi angrebet? Threat actor motives over time FIG = Fun, Ideology and Grudge

45 Avancerede angreb er blevet det normale Mange målrettede angreb er stadig forholdsvis simple -- De fleste såkaldt avancerede angreb starter stadig med en sendt til den rette person med det rette indhold Drivere bag cyberkriminalitet Automatisering Samarbejde og videndeling Profit Cyberkriminalitet er en lukrativ forretning, og det er nemt at starte Anonymitet Betalingsinfrastruktur Undergrundsmiljø hvor de kriminelle handler med informationer Metoder, som tidligere kun blev brugt i målrettede angreb, anvendes nu af almindelige kriminelle Malware er blevet mere avanceret How Industrial Hackers Monetize the Opportunity Social Security $1 DDOS as a Service ~$7/hour Credit Card Data $0.25-$60 Medical Record >$50 Bank Account Info Mobile Malware $150 Spam Exploits Malware Development $2500 Facebook Account with 15 friends >$1000 (depending on account type and balance) $50/500K s $1000-$300K $1 Source: RSA/CNBC

46 Malware - Udviklingsproces Sløring og kvalitetstestning Malware er vidt udbredt og kan fremstilles, så det omgår det traditionelle perimeterforsvar og anden beskyttelse Original Malware Permutationer Kvalitetstestning Deployering Afvist hvis detekteret af anti-virus software Mange forskellige varianter af samme malware fremstilles automatisk forud for et angreb Kun varianter, der kommer igennem kvalitetstestningen (=omgår antivirus) bruges i selve angrebet De nye varianter frigives med jævne mellemrum for konstant at være foran antivirus mønster opdateringerne ~ nye malware filer i timen

47 Verizon 2016 Data Breach Investigations Report 85% Myth #1: Hackers always carefully select a target and then hit them with a zero-day attack Truth: Most attacks are opportunistic, indiscriminate and exploit known vulnerabilities. The top 10 vulnerabilities account for 85% of successful exploit traffic. And the remaining 15% consists of over 900 Common Vulnerabilities and Exposures (CVEs). 30% Myth #4: No one falls for phishing anymore Truth: Phishing is on the rise. 30% of phishing s are opened. And about 12% of targets go on to click the link or attachment. 93% Myth #2: Attackers are fast. But the good guys are catching up Truth: The gap between compromise and detection is widening. In 93% of breaches attackers take minutes or less to compromise systems. But four out of five victims don t realize they ve been attacked for weeks or longer. And in 7% of cases, the breach goes undiscovered for more than a year 80% Myth #5: Cyber-espionage attacks are widespread and increasing. Truth: Money remains the main motive for attacks. 80% of analyzed breaches had a financial motive. Make your defenses good enough and attackers will move on to easier targets. 63% Myth #3: Passwords prove the identity of authorized users Truth: 63% of confirmed data breaches leverage a weak, default or stolen password 95% Myth #6: It s all too complicated. The bad guys have won Truth 95% of breaches fit into just nine attack patterns. Understand them and you ll be better able to make the right investments and protect your organization.

48 Konsekvenser rammer forretning og indtjening på kort og langt sigt *!!!** Omkostninger til incident response Mistede kunder og indtjening Skadet omdømme & brand mistet tillid Mistet produktivitet Bøder Mistede intellektuelle værdier Nu Kort sigt Lang sigt

49 Udviklingen af ransomware lidt historie

50 Cyber afpresning Cyber afpresning er online kriminalitet, der involverer et angreb eller trussel om angreb mod en person eller virksomhed, kombineret med et krav om betailing for at stoppe angrebet Cyber pengeafpresning kan ske på flere måde - kryptere data og holde den som gidsel, stjæle data og truende eksponering, nægte adgang til data, angribe systemer så de bliver utilgængelige Cyber extorsion DDos Ransomware Blackmail Volumetric: Flooding Computational Asymmetric: Consuming CPU cycles Stateful Asymmetric: Abusing memory Vulnerabilitybased: Exploiting software vulnerabilities Blended DDoS: Combination of multiple attack vectors Encrytion Ransomware Locker Ransomware Release information

51 Ransomware History - AIDS The first known ransomware was the 1989 "AIDS" trojan (also known as "PC Cyborg") written by Joseph Popp. PC CYBORG (AIDS Disk) Emerged in Distributed on floppy disks Installed from Trojan software Lay dormant to allow time for propagation Used operating basic encryption and operating system quirks to scramble and hide files Demanded a License Payment to be sent via cheque to a post office box in Panama Not very successful Technology was lagging behind the idea

52 Ransomware History 1990s 2000s Malware continued to develop 1990s 2000s Identity theft Phishing scams, stealing passwords Bot Nets Networks of compromised PCs Adware Ransomware 1990s-2000s Very small percent of Malware! Too complicated, how to get money? Too risky, how to stay hidden? Too weak, how to Denial of Service an uncontrolled PC? (CC) BitDefender España (2010) Source: Occasional fake ransom, or Anti Virus, easily defeated / removed Occasional locker that affected boot process, easily defeated / removed 2005: PGPCoder Trojan 1024 RSA key, collects money via EGOLD Source:

53 Ransomware History 1990s 2000s The ransomware concept dates back to 1989 In 2010, something changed In 2012, something changed, a lot! Technology has caught up to the idea! Step 1: Idea! Ransom money from people! Step 2: Use technology to enable the idea! Step 3: Profit CTB-Locker stands for Curve-Tor-Bitcoin - in reference to core technologies: Curve - Strong encryption aka Elliptic Curve Encryption, an extremely strong form of encryption based on number theory Tor - Anonymity aka The Onion Router network, an anonymized form of the Dark Interne Bitcoin aka Untraceable crypto-cash payments the virtual currency extorted from victims of the ransomware (Invented 2009 by Satoshi Nakamoto) Introduced on Oct 31, 2008 / Release as open source software in January 3, 2009 Google search trends ransomware searches 2008 to 2015

54 Drivere bag cyberkriminalitet Teknologi (Publickey kryptering) Anonymitet (TOR) Betalingsinfrastruktur (BitCoin) Automatisering (RaaS) Samarbejde og vidensdeling Profit

55 Malware types Percentage of new families of misleading apps, fake AV, locker ransomware and crypto ransomware identified between 2005 and 2015 Exploit & malspam drops in 2017 (jan-jun) Kilde: Symantec, The evolution of ransomware, august 2015 & MalwareBytes -Cybercrime tactics and techniques Q2/2017

56 Reveton - Locker In 2012, ransomware worm known as Reveton began to spread It is also known as "police trojan" Its payload displays a warning from a law enforcement agency Claiming that the computer had been used for illegal activities, such as downloading pirated software, promoting terrorism, copyright etc. The warning informs the user that to unlock their system they would have to pay a fine To increase the illusion that the computer is being tracked by law enforcement, the screen also displays the computer's IP address and footage from a computer's webcam

57 Lockers

58 Hvad er Crypto Ransomware? Crypto Ransomware tager ens data som gidsel Crypto Ransomware krypterer ens data, og tilbyder at sælge dig nøglen til dekryptering Indtil ca var de fleste crypto ransomware-angreb temmelig harmløse, da den anvendte kryptering nemt kunne fjernes Med Cryptolocker, Torrentlocker, CTBLocker o.lign. er dette dog ændret

59 Evolution (examples) Evolution of GPCode s encryption Evolution of Command and Control GPCode 2004 Used one byte encryption key, easily defeated Electronic payments GPCode.ac (June 2005) Implemented RSA Public Key Cryptography (PKI) Very weak key (56bit RSA modulus = 7 bit symmetric key) GPCode.ad (April 2006) Longer RSA keys but still poor PKI implementation GPCode.ag (June 2006) Finally, a strong RSA key (660 bit = ~60 bit symmetric) Cracked by Kaspersky, probably a coding error in.ag GPCode.ak (June 2008) Properly implemented 1024 bit RSA key Failed due to implementation of wrong cipher RC4, vulnerable to cryptanalysis GPCode.ax (December 2010) A copycat Unbreakable encryption but still can be stopped (it has flaws) GPCode (2004) No C&C (C2) Server, just did its thing Contact malware producer via for unlock code Reveton (2012) Doesn t encrypt but uses C2 server for unlock Cryptolocker (2013) Uses C2 server, to retrieve RSA public key (much more secure) Pseudo Random Domain Generation Algorithm (DGA) to avoid easy takedowns (contacts garbage URLs: xxgrradvvzcfyx.biz) Cryptowall (2014) Uses C2 server on TOR hidden and anonymous network! Improved DGA to make takedown even harder

60 Ransomware 2013/2014 September 2013 December 2013 April 2014 July 2014 August 2014 CryptoLocker - first versions appear to have been posted September 2013 Usually enters the company by . If a user clicks on the executable, it starts immediately scanning network drives, renames all the files & folders and encrypts them. Locker first copycat software emerged in December 2013 $150 to get the key, with money being sent to a Perfect Money or QIWI Visa Virtual Card number. CryptoLocker 2.0 a new and improved version of CryptoLocker was found in December 2013 CryptoLocker 2.0 was written using C# while the original was in C++. Tor and Bitcoin used for anonymity and 2048-bit encryption. The latest variant is not detected by anti-virus or firewall. CryptoWall rebranded from CryptoDefense in April 2014 Exploited a Java vulnerability. Malicious advertisements on domains belonging to Disney, Facebook, The Guardian newspaper and many others led people to sites that were CryptoWall infected and encrypted their drives. According to an August 27 report from Dell SecureWorks Counter Threat Unit (CTU): CTU researchers consider CryptoWall to be the largest and most destructive ransomware threat on the Internet as of this publication, and they expect this threat to continue growing. More than 600,000 systems were infected between mid-march and August 24, with 5.25 billion files being encrypted. 1,683 victims (0.27%) paid a total $1,101,900 in ransom. Nearly 2/3 paid $500, but the amounts ranged from $200 to $10,000. CryptorBit a new ransomware discovered in December 2013 CryptorBit corrupts the first 1024 bytes of any data file it finds. Can bypass Group Policy settings put in place to defend against this type of ransomware infection. Social engineering used to get end users to install the ransomware using such devices as a fake flash update or a rogue antivirus product. Tor and Bitcoin again used for a ransom payment. Also installs crypto-coin mining software that uses the victim s computer to mine digital currency. Cryptoblocker new ransomware variant emerged in July only encrypt files <100MB and will skip anything in Windows or Program Files. 15 It uses AES rather than RSA encryption. SynoLocker appeared in August This one attacked Synology NAS devices. SynoLocker encrypted files one by one. Payment was in Bitcoins and again Tor was used for anonymity. CTB-Locker (Curve-Tor-Bitcoin Locker) discovered midsummer 2014 First infections were mainly in Russia. The developers were thought to be from an eastern European country.

61 Ransomware 2014/2015 December 2014 January 2015 February 2015 March 2015 September 2015 October 2015 November 2015 OphionLocker surprise! Another ransomware released during the holidays, December 2014 ECC (elliptic curve cryptography) public-key encryption. 3 days to pay the ransom or the private key will be deleted. Pclock greets the New Year, January 2015 by miming CryptoLocker 17 Files in a user s profile are encrypted. Volume shadow copies are deleted and disabled. 72-hour countdown timer to pay 1 bitcoin in ransom. CryptoWall 2.0 ransomware goes on steroids in January 2015 Delivered via attachments, malicious pdf files and various exploit kits. Encrypts the user s data, until a ransom is paid for the decryption key. Uses TOR to obfuscate the C&C (Command & Control) channel. Incorporates anti-vm and anti-emulation checks to hamper identification via sandboxes. Has the ability to run 64-bit code directly from its 32-bit dropper. It can switch the processor execution context from 32 bit to 64 bit. TeslaCrypt a new CryptoWall variant surfaced in February 2015 Targets popular video game files such as Call of Duty, MineCraft, World of Warcraft, and Steam. VaultCrypt pretended to be customer support in February 2015 First circulated in Russia. Uses Windows batch files and open source GnuPG privacy software for file encryption. CryptoWall 3.0 a new version appeared March 2015 I2P network communication. Uses exploit kits to gain privilege escalation on the system. Disables many security features on a target system. LowLevel04 this file-encrypting ransomware greeted us in October 2015 Also known as the Onion Trojan- Ransom Spreads via brute force attacks on machines with Remote Desktop or Terminal Services Encrypts files using AES encryption but the encryption key itself is RSA encrypted CryptoWall months later, in September 2015, a new variant is on the loose The most important change from CryptoWall 3.0 to 4.0 is that it re-encrypts filenames of the encrypted files, making it more difficult to decipher which files need to be recovered (filename scrambling) Obliterates restore points Improved network security evasion Chimera November 2015 The hackers will publish the encrypted files on the Internet if the victim doesn t pay!

62 Ransomware angreb Typisk forløb for et Ransomware angreb Phishing angreb Angreb Malware Download & Kontakt Udveksling af nøgler Kryptering af data Visning af afpresning (Betaling) (Oplåsning af filer) En række brugere modtager phising-mail Bruger åbner vedlagt fil eller tilgår link Brugerens maskine inficeres med malware Crypto ransomware downloaded Malware kontakter Command & Contol Server Udveksling af public / private key nøgler til kryptering Filerne på den ramte computer bliver krypteret Offeret vises besked med deadline og løsesum Offeret betaler løsesum via Tor netværket med Bitcoins Offeret modtager nøgle til dekryptering af data

63 Cryptolocker Widely known variant of ransomware Distributed either as an attachment to a malicious , or is propagated using the Gameover ZeuS botnet Began September 2013 / Rose to prominence in late 2013 Encrypts certain types of files stored on local drives using RSA public-key cryptography The private key stored only on the malware's control servers and it is impossible to recover files without a key Offers to decrypt the data if a $300 ransom payment is made by a stated deadline. Ransom increases after deadline. Threatens to delete the private key if the deadline passes. Goal is monetary via Bitcoin Dell SecureWorks estimates that CryptoLocker has infected 250,000 victims. The average payout is $300 each / 1 million dollars a day. $27 million in ransom in first 2 months (FBI) Defeated in early June 2014 when the Gameover botnet was knocked out in a joint effort by various government agencies and security firms Decryption keys available for victims at Filename and Extensions Encrypted.3fr.doc.m2,.m2*.ppt.sum.7z*.docx.m3u.pptx.svg.ai*.dwg.m4a.psd.t12.apk.dxg.map.psk.t13.arw.epk.mdb.pst.tax.avi.eps.mdf.ptx.tor.bar.erf.mef.py,.py*.txt.bay.esm.mlx.qdf.upk.bc6.ff,.ff*.mov.qic.vcf.bc7.flv.mp4.r3d.vdf.big.fos.ncf.raf.vpk.bik.fpk.nrw.rar.vtf.bkf.fsh.ntl.raw.w3x.bkp.gdb.odb.rb,.rb*.wb2.bsa.gho.odc.re4.wma.cas.hkx.odm.rim.wmo.cdr.itl.odp.rtf.wmv.cer.itm.ods.rw2.wpd.cfr.iwd.odt.rwl.wps.cr2.iwi.orf.sav.x3f.crt.jpe.p12.sb,.sb*.xf,.xf8.crw.jpg.p7b.sid.xlk.css.js,.js*.p7c.sie.xls.csv.kdb.pak.sis.xlsx.das.kdc.pdd.slm.xxx.db,.db*.kf,.kf*.pdf.snx.zip.dcr.lbf.pef.sql.der.lrf.pem.sr2.dmp.ltx.pfx.srf.dng.lvl.png.srw

64

65

66 TeslaCrypt

67 Who pays the ransom? Police department paid to decrypt images and word documents In the Australia, a Townsville sex shop paid $1,058 to ransomware attackers.

68 FBI s Advice on Ransomware? Just Pay The Ransom. The ransomware is that good, To be honest, we often advise people just to pay the ransom. The easiest thing may be to just pay the ransom, The amount of money made by these criminals is enormous and that s because the overwhelming majority of institutions just pay the ransom. Most ransomware scammers are good to their word, You do get your access back. Joseph Bonavolonta, Assistant Special Agent in Charge of FBI s CYBER and Counter intelligence Program, Boston

69 How many pay? Undersøgelse fra University of Kent (2014): It is surprising that approx. 9.7% of the respondents claim to have been victims of some sort of ransomware. This figure is at least twice as high as the one we were expecting, judging from the scarce and quite speculative previous literature. Most of the ransomware victims seemed to have chosen not to pay the ransom, but a very high percentage of them indeed complied and sent the money to the cyber criminals. This percentage seems to be around 41% for CryptoLocker and approx. 30% for other strands of ransomware (Icepol/Reveton, and many others). This is at least 10 times more than the last previous estimation by Symantec of around a 3% of paying victims (a previous one by the Dell SecureWorks CTU research team put this figure at 0.4%). Data from a Jan 2014 survey by University of Kent According to research carried out by the Norton Cyber Security Insight team, 34% of victims will pay the ransom. This proportion rises to 64% of victims in the U.S., providing some indication as to why the country is so heavily targeted. Symantec, juni 2017

70 Cryptolocker Mastermind Evgeniy Mikhailovich Bogachev is identified as a leader of a cyber gang of criminals based in Russia and Ukraine that is responsible both GameOver Zeus and Cryptolocker. Reward of up to $3 million for information leading to his arrest Evgeniy Mikhailovich Bogachev Born October 28 th 1983 Anapa, Russia Nickname Slavik Indicted for conspiracy, computer hacking, wire fraud, bank fraud, and money laundering GameOver BotNet was taken down in June 2014 GameOver Zeus was also used for Russian spying and Bogachev is considered to be under Russian protection. Image source: FBI

71 Et angreb

72 Post Ransomware (februar 2016)

73 Eksempel på phishing mail Slutbruger modtager phising mail med link til falsk hjemmeside Siden er beskyttet med CAPTCHA formentlig for at beskytte mod automatisk analyse

74 Fil download Slutbrugeren downloader derefter automatisk en ZIP fil der hedder forsendelse_20310.zip Filen indeholder reelt en EXE fil, som har fået tilknyttet et PDF logo for at ligne en PDF fil

75 Sandbox analyse Sandbox er en overvåget kopi af vores klient miljø, hvor malware kan køres og observeres, men vil ikke forårsage skade på selve systemet Sandbox bruges til dynamisk malware analyse og adfærd baseret detektion

76 Analyse af ondsindet fil Ændring af mail opsætning Autorun tilføjelse & sløring af filen

77 Kopiering til %windir% kataloget Unik ikke kendt fil

78 Sletning af shadow kopier

79 Tilgang til malware domæne Etablering af bagdør Opslag på egen DNS Server

80

81 Virus bliver kun langsomt kendt af antivirus softwaren 1. februar 2016 kl /53 1. februar 2016 kl. 18:43 7/53 3. februar 2016 kl. 9:32 30/53

82 En efterfølgende variant også unik

83 Krypterede filer

84 Instruktion i betaling med hjælp til Bitcoins via Youtube

85 Bitcoin adressen er unik

86 Tak! Dubex A/S Jacob Herbst, CTO Tlf