RANSOMWARE:

UNA AMENAZA PARA SER CONSCIENTE Y ESTAR PREPARADO

VICTOR ESPINOSA
Pre-Sales Manager | México

Mayo, 2017
RANSOMWARE Y MÁS ALLÁ:
UN BREVE PANORAMA DEL PAISAJE DE AMENAZAS
CYBERSECURITY EN LA AGENDA: ESTADÍSTICAS MALWARE
1994 2006 2011 2014-2016
1 1 1 300,000+
NUEVO VIRUS NUEVO VIRUS NUEVO VIRUS NUEVAS
CADA HORA CADA MINUTO CADA MUESTRAS
SEGUNDO TODOS LOS
DÍAS
UN NUEVO MUNDO VALIENTE DE NEGOCIOS

Movilidad Nube Grandes datos Consumerización de TI

IdC (IoT) Redes Sociales Colaboración Nuevos tipos de negocio

¿HAN LLEGADO LAS “SIGUIENTES GENERACIONES AMENAZAS "?
EL FENÓMENO DEL MERCADO "LAS PRÓXIMAS
GENERACIONES DE AMENAZAS"

Tanto los avances

de TI, como los
comerciales
ofrecen nuevas
oportunidades
para los atacantes
El resultado es el
creciente
panorama de
amenazas que
afecta a tantos
negocios
EL VELO DEL ANONIMATO

Pagos anónimos + Comunicación anónima

Entorno perfecto para el ciberdelito

RANSOMWARE: UNA AMENAZA VERDADERAMENTE
"NEXTGEN"
Ransomware de Cifrado

Master Boot Record (MBR)

Ransomware

Ransomware-Cifrado de Servidores
web

Ransomware para dispositivos móviles

(Android)

Ransomware para el contexto

Ransomware Dirigido
PROPAGACIÓN DE RANSOMWARE

Correo Electrónico y Drive-by & RDP: Directivas de

Redes Sociales: waterholing contraseñas
enlaces y archivos débiles
adjuntos
RANSOMWARE: MODELOS DE NEGOCIOS CRIMINALES
Mercado negro Acceso-como-Servicio / Ransomware-como-un-
Referencia Servicio

Los precios empiezan desde Sistemas previamente ‘Renta´ de Infraestructura

$5,000 hackeados abiertos para lista para usar
cifradores
"Ingresos" hasta $25,000 / día Ganancias del proveedor
Ganancias del proveedor 10-40% del rescate
Funciones adicionales 10-20% del rescate recibido
disponibles recibido
“MEJORAS CONTINUAS”
• Esquemas criptográficos de varias claves

• Script (Ampliar fácilmente la funcionalidad)

• Uso de herramientas legales (GnuPG, WinRAR, Sdelete)

• No sólo BitCoin: ¿Monero la criptomoneda de elección?

• Servidores C2 en TOR (más anonimato)

• BitMessage (sí, aún más anonimato)

PRONÓSTICO DE RANSOMWARE: ¿QUÉ ESPERAR?
Más ransomware

Más ataques a plataformas no Windows

(Android, Mac, etc.)

Robo de contraseña y cifrado de datos

"en la nube“

Locker ataca a "dispositivos inteligentes"

 INCIDENCIA WANNA CRY – LINEA DE TIEMPO

13
 INCIDENCIA WANNA CRY EN LATAM

1. México
2. Brasil
3. Ecuador
4. Colombia
5. Chile

Fuente: Kaspersky Lab GREAT Team

14
 WANNA CRY – VULNERABILIDAD MS SMB

15
RANSOMWARE Y EL NEGOCIO
ALGUNOS HECHOS OBVIOS Y OSCUROS
¿QUÉ ES CIFRADO?

Archivos de office / texto Archivos de proyectos y juegos

Archivos gráficos ... y muchos otros tipos

2016: RANSOMWARE USADO COMO ARMA SOBRE NEGOCIOS
20%
de las empresas a nivel
mundial ha sufrido un
incidente de seguridad de TI
debido a ransomware
Alrededor del 67%
De las PYMES perdieron
sus datos totalmente o
parcialmente debido a un
criptomalware
42%
de las pequeñas y medianas
empresas fueron golpeadas
por ransomware en 2016
Cada 40 seconds
un negocio fue atacado por
ransomware
¿QUIÉN ES ATACADO?

Muchas víctimas son micro y pequeñas empresas

¿POR QUÉ?

Personal molesto y Poco Rendimiento

Salario Bajo poco calificado de Seguridad

Obtienes lo que pagas

RANSOMWARE: MEDIDA EN EFECTIVO
• $ 209 millones fueron pagados a criminales del ransomware
en Q1 2016
• La demanda promedio de rescate en 2016 fue de $ 679,
más del doble de la demanda promedio de $ 294 en 2015

• Pronóstico del FBI para 2016 : $1 billion

• Ransomware entre los 10 incidentes de seguridad más

caros para los negocios
• Aproximadamente el 40% de las víctimas pagan
• Coste medio del daño para PYME: hasta $99,000
para la empresa : hasta $1.5 millones
¿PAGAR O NO PAGAR?

"Depende de las empresas

individuales decidir por sí “El ransomware es tan bueno
mismos ...” ... Para ser honesto, a
menudo aconsejamos a la
Un portavoz del FBI ,? en una gente sólo para pagar el
investigación sobre qué hacer
rescate.”
cuando ransomware ataca
Joseph Bonavolonta, agente
especial del FBI en la Cumbre de
Seguridad Cibernética, Boston

• 1 de 5 de las víctimas que pagaron el rescate nunca obtuvieron sus datos1

• ¡Ransomware creció 2.5 veces de un trimestre a otro en 2016, eso es en

gran parte porque 4 de 10 de las víctimas siguen dando a los culpables el
dinero!
1 Según los datos de la encuesta Researchscape en un grupo de expertos en TI, 02.04.2016
¡NO ALIMENTAR ¡COMBATA Y PROTÉGASE
LA HIDRA! USTED MISMO!
DEFIÉNDETE :
TECNOLOGÍA Y COLABORACIÓN CONFIABLE
¿DÓNDE ESTÁN LOS DATOS QUE PUEDEN SER CIFRADOS?

Equipo de
Escritorio Servidor de
Virtualizado /
archivos
Hospedado

Móvil Equipo portatil NAS

 CADENA DE LA MUERTE DE CIFRADOR (CRYPTOR)
Correo
electrónico NAS
con archivo Mail server
adjunto o
enlace
SAN

Exploit o archivo Estación de Trabajo

Fuente de distribución
de malware
Servidor de archivos
ROLLBACK BASADO EN EL PUNTO FINAL (ENDPOINT)
Temp. ‘Respaldo’
System Watcher

Intento de acceso
ROLLBACK BASADO EN EL PUNTO FINAL (ENDPOINT)
Temp. ‘Respaldo’
System Watcher

Intento de cifrado
ANTI-CRYPTOR BASADO EN EL SERVIDOR

Host Blocker Anti-Cryptor

Endpoint

Tentativa de cifrado
a través de la red
PROTECCIÓN INTEGRAL CONTRA RANSOMWARE
Kaspersky Endpoint Security

Endpoint
PROTECCIÓN INTEGRAL: PROACTIVA

Dynamic Whitelisting

Application Startup Control Application Privilege Control

Default Deny HIPS

scenario
PROTECCIÓN INTEGRAL: PROACTIVA
SEGURIDAD MULTICAPA: CAPAS TECNOLÓGICAS

Detección del comportamiento (System Watcher)

Prevención automática de exploit

Protección basada en la nube

Heurística (estructura y emulación)

Tecnologías de detección precisas

ENFOQUE COMPLEJO SOBRE LAS VULNERABILIDADES

Exploit

Evaluación de Exploit
Vulnerabilidad
Administración de Prevención Automática
Parches Contra Exploit (AEP)
Experiencia en
Amenazas
Bloqueador de
Ataques de Red
SEGURIDAD MULTICAPA: NO VULNERABILIDADES

Kaspersky Educational Kaspersky Vulnerability

Services and Patch Management

Evaluación de las
Cybersecurity
vulnerabilidades y
Basics Training
administración de parches
SEGURIDAD MULTICAPA: NO VULNERABILIDADES
Evaluar las Distribuir parches
vulnerabilidades (completamente
automatizado)
170 150
títulos de software títulos de software

109 79
fabricantes fabricantes
KASPERSKY LAB: LUCHA A TRAVÉS DE LA TECNOLOGÍA
Protección multi-capas contra ransomware. En las instalaciones (On premises)
Kaspersky Endpoint
Kaspersky Total Security
Security for Business Advanced
for Business Select

SEGURIDAD WEB Y
COLABORACIÓN ANTI-MALWARE

SEGURIDAD DE CONTROL APP,

CORREO ELECTRÓNICO DISPOSITIVOS, WEB

GESTIÓN DE PARCHES
Y VULNERABILIDADES SEGURIDAD MÓVIL

CIFRADO DE SEGURIDAD DEL

DATOS SERVIDOR DE ARCHIVOS
KASPERSKY ENDPOINT SECURITY CLOUD

PROTECCIÓN LÍDER EN SOLUCIÓN LISTA

LA INDUSTRIA PARA COMENZAR

NO HAY COSTOS DE PRECIO BASADO EN EL

INFRAESTRUCTURA CONSUMO*

GESTIÓN CENTRALIZADA PARA

VARIOS TIPOS ENDPOINT
* Proximamente
HERRAMIENTA GRATUITA B2B KASPERSKY ANTI-RANSOMWARE

https://go.kaspersky.com/kart

Herramienta ligera GRATIS para proteger contra ransomware

Aprovecha los grandes datos de inteligencia de amenazas de Kaspersky Security Network

Trabaja junto con las soluciones de seguridad de otros proveedores

SEGURIDAD MULTICAPA: INFRAESTRUCTURA

Kaspersky Kaspersky Kaspersky Kaspersky Kaspersky

Security Security Security Security Security
for Mail Server for File Server for Mobile for Internet Gateway for Virtualization

Kaspersky Kaspersky Kaspersky Kaspersky

Security Vulnerability Security DDoS
for Collaboration and Patch for Storage Protection
Management
 KATA DE UN VISTAZO
Sensores
Internet de red SIEM SOC
tráfico de red Analysis Center
Objetos sospechosos
SB Activity Logs
Email Pcaps, Sys-log

Respuesta de
Incidentes /
Analyst console Equipo
Actividad de la red de Forense
Servidor hosts
DB Veredictos

Security
Officer

PC
Advanced
Sensores de Alertas de
Sandbox incidentes
punto final
Laptop PC

Vectores de ataque Adquisición de datos Análisis de los Datos Priorización veredictos Respuesta

42
ENFOQUE DE ESTRATEGIA DE SEGURIDAD ADAPTATIVA Y KASPERSKY
PREDECIR EVITAR

SABER CAPACITACIÓN: • Cybersecurity training

TÚ MISMO: • Penetration testing service
• Security assessment service
• Targeted Attack Discovery
Service
PROTEGER : • Kaspersky Lab Enterprise
Security Solutions
EDUCAR: • Cyber Safety Games
• Threat simulation

RESPONDER DETECTAR

PERICIA : • Targeted Attack

REACCIÓN: • Incident response service Investigation Training

• APT reporting
INVESTIGAR: • Malware analysis service PAISAJE DE • Botnet tracking
• Digital forensics services AMENAZAS
: • Threat data feeds

SOLUCIÓN: • Kaspersky Anti Targeted

Attack Platform

43
LUCHA A TRAVES DE LA COLABORACIÓN
Iniciativa internacional sin ánimo de lucro | Herramientas de descifrado gratuitas | Abierto a
nuevos socios y cooperación

Hasta ahora 4.400 personas recuperaron sus datos

Se privó a los criminales de $1.5 millones de rescate
13 nuevos países se unieron a la iniciativa en octubre de 2016
SEGURIDAD MULTICAPAS DE KASPERSKY LAB
MÁS PROBADO, MÁS SEGURO
PROTECCIÓN CONFIABLE: MÁS PROBADA, MÁS SEGURA
En 2016, los productos Kaspersky Lab participaron en 78
Score of TOP 3 places

pruebas y revisiones independientes. Nuestros productos

fueron premiados con 55 primer lugar y lograron 70
Kaspersky Lab
100% dentro de los tres primeros lugares.
1er lugar - 55
Participación
80% en 78 pruebas
Symantec
TOP 3 = 90%
ESET Bitdefender
Avira
60%
VIPRE
Sophos

40% Quick Heal

BullGuard Avast
AVG Trend Micro

G DATA
20%
F-Secure
Intel Security (McAfee)
Microsoft No. of independent tests/reviews
0%
20 40 60 80 100
 OUR CUSTOMERS

► Over 400,000,000 users worldwide

► Over 270,000 corporate clients worldwide

47
VINCULOS DE INTERÉS WANNA CRY
https://securelist.com/
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
https://noransom.kaspersky.com
https://www.nomoreransom.org

https://www.youtube.com/watch?v=bZFNsxPJvCI
https://latam.kaspersky.com/enterprise-security
VINCULOS DE SERVICIOS
Anti-Ransomware Tool http://bit.ly/K-A-R-T
Educación y Reportes: https://securelist.lat

EPP: https://latam.kaspersky.com/home-security
https://latam.kaspersky.com/small-business-security
https://latam.kaspersky.com/small-to-medium-business-security

Demo Concientización: http://bit.ly/klmxdc

KATA: http://bit.ly/K-A-T-A
TRIVIA

¿Cuales son las siglas de nuestro equipo de analistas de

amenazas de Kaspersky Lab?
GReAT - Global Research & Analysis Team
¿Cuantos años cumple Kaspersky Lab?
20 años
¿Menciona dos aplicaciones de Kaspersky Lab que cuen
con el modulo de System Watcher?
Kaspersky Internet Security for Windows, Kaspersky Small
Office Security, Kaspersky Endpoint Security for Windows
¡¿HABLEMOS?!

Victor Espinosa
Kaspersky Lab Twitter @VictorMEspinosa
www.kaspersky.com Skype & Yammer victor.Espinosa@Kaspersky.com
Latam.Kaspersky.com