© 2016 Centro Criptológico Nacional

C/Argentona 20, 28023 MADRID

CIBERAMENAZA

El cambio es exponencial

4000 a.C. ~ 1763

1971 ~ 2014

Consumo medio de

electricidad

per cápita

Consumo medio de

información per cápita

Penetración de internet

Consumo

medio de proteínas

per cápita

Sociedad

agraria

Sociedad industrial

Sociedad de Internet

Sociedad de

los datos

1764 ~1970

Después de 2015

Toda esta TECNOLOGÍA está ahora en un smartphone

1991

El ordenador en tu

MANO es más

POTENTE que el que

cargaban

estos 13 hombres en

1957

Las

REDES

SOCIALES tienen

un

IMPACTO instantáneo

y masivo

1 2 3 4 5

6

7

8

9

10

1,360

832

800

380

200

1,490

316

300

320

500

OCT 2015

La disrupción en servicios es cada vez más rápida

1878 2015 1898 1918 1938 1998 1958 1978

1878

1979

1990

2003

2004

2009

2010

2008

2012

Año de lanzamiento

1 año 3 meses

2 años 4 meses

3 años 4 meses

2 años 2 meses

4 años 6 meses

6 años 5 meses

7 años

16 años

75 años

Tiempo necesario para alcanzar 100

millones de usuarios

Ser disruptivos o no ser

6 años

Nueva York, 2015

Uber ha crecido más rápido en sus

primeros

5 años que Facebook en los suyos El mayor proveedor de

alojamientos,

no posee ninguna

propiedad

El mayor dueño de

contenidos del mundo, no

los genera

La mayor compañía

de taxis del mundo,

no tiene ningún coche

El minorista más

valorado, no tiene

inventarios

Vemos problemas de seguridad a diario

3.635.281 diariamente

151.470 por hora

2.525 por minuto

42 por segundo

Puedes cambiar tu contraseña pero no tus datos personales

Ficheros de datos perdidos o robados desde 2013

Si no estás pagando por el producto,

TU eres el producto

La “huella digital” de nuestra vida, consciente o desapercibida, tendrá un enorme

valor económico en el futuro, y se podrá vender e intercambiar por efectivo, descuentos, productos o servicios que cada vez están más personalizados y

adaptados al cliente.

Huella Digital

9

www.ccn-cert.cni.es

Riesgos asociados a las redes sociales

10

www.ccn-cert.cni.es

Riesgos asociados a las redes sociales

11

www.ccn-cert.cni.es

Riesgos asociados a las redes sociales

12

www.ccn-cert.cni.es

Riesgos asociados a las redes sociales

13

www.ccn-cert.cni.es

Riesgos asociados a las redes sociales

14

www.ccn-cert.cni.es

Riesgos asociados a las redes sociales

ÍNDICE

1. CCN / CCN-CERT • Marco Legal

2. ESTADO DE LA AMENAZA • PARTE OFENSIVA

• PARTE DEFENSIVA

3. Concienciación en Ciberseguridad

El CCN actúa según el siguiente marco legal:

Real Decreto 421/2004, 12 de marzo, que regula

y define el ámbito y funciones del CCN.

Ley 11/2002, 6 de mayo, reguladora del Centro

Nacional de Inteligencia (CNI), que incluye al

Centro Criptológico Nacional (CCN)

Real Decreto 3/2010, de 8 de enero, por el que se

regula el Esquema Nacional de Seguridad en el ámbito

de la Administración Electrónica

RD 951/2015, 4 de Noviembre. Actualización

Orden Ministerio Presidencia PRE/2740/2007, de 19 de

septiembre, que regula el Esquema Nacional de

Evaluación y Certificación de la Seguridad de las

Tecnologías de la Información

Sobre el CCN … • Ley 11/2002 reguladora del Centro Nacional de

Inteligencia,

• Real Decreto 421/2004, 12 de Marzo, que regula y

define el ámbito y funciones del CCN.

Real Decreto 3/2010, 8 de Enero, que define el

Esquema Nacional de Seguridad para la

Administración Electrónica, modificado por el RD

951/2015 de 23 de octubre.

Establece al CCN-CERT como CERT Gubernamental/Nacional

HISTORIA

• 2006 Constitución en el seno del CCN

• 2007 Reconocimiento internacional

• 2008 Sistema Alerta Temprana SAT SARA

• 2009 EGC (CERT Gubernamentales Europeos)

• 2010 ENS y SAT Internet

• 2011 Acuerdos con CCAA

• 2012 CARMEN

• 2013 Relación con empresas

• 2014 LUCÍA e INES

• 2015 Ampliación SAT Internet

• 2016 REYES

MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el

centro de alerta y respuesta nacional que coopere y ayude a

responder de forma rápida y eficiente a las Administraciones

Públicas y a las empresas estratégicas, y afrontar de forma activa

las nuevas ciberamenazas.

COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados

y sobre sistemas de la Administración y de empresas

pertenecientes a sectores designados como estratégicos.

Centro Criptológico Nacional

Actividades del CCN

Normativa Art 2. Apdo.2a RD 421/2004: Elaborar y difundir

normas, instrucciones, guías y recomendaciones

para garantizar la seguridad de las TIC

Formación

Art 2. Apdo.2b RD 421/2004: Formar al personal

de la Administración especialista en el campo

de la seguridad de las TIC

Velar

Art 2. Apdo.2f RD 421/2004: Velar por el

cumplimiento normativa relativa a la protección

de la información clasificada en Sistemas TIC

Desarrollo normas,

procedimientos, instrucciones

y guías: Serie CCN-STIC

Concienciación

Cursos STIC

Inspecciones técnicas STIC

Análisis vulnerabilidades

Auditorías de seguridad

…

Actividades del CCN

Desarrollo

Art 2. Apdo.2e RD 421/2004: Coordinar la

promoción, desarrollo, obtención, adquisición,

explotación y uso de tecnologías de seguridad

Evaluación

Art 2. Apdo.2d RD 421/2004: Valorar y acreditar

capacidades de productos de cifra para

manejar información de forma segura

Certificación

Art 2. Apdo.2c RD 421/2004: Constituir el organismo

de certificación del Esquema Nacional de

Evaluación y Certificación del ámbito STIC

APROBACIÓN DE USO

Equipos para proteger

información clasificada

Difusión Limitada

Routers IPSec

APROBADO

De acuerdo con al configuración segura

y el documento:

- CCN-PE-2009-02 Configuración de

seguridad routers IPSec

- CCN-IT-2009-01 Implementación

segura VPN con IPSec

Conocimiento amenazas

Necesidades operativas

Estado tecnología seguridad

Conocimiento industria sector

Seguridad funcional

Criptológica

TEMPEST

Seguridad funcional

Criptológica

TEMPEST

Actividades del CCN

Gestión de Incidentes

Detección de la

Amenaza

Real Decreto 3/2010, 8 de Enero, que define el Esquema

Nacional de Seguridad para la Administración Electrónica.

RD 951/2015, 23 de octubre. Actualización

Diversidad de fuentes de

información

Sistemas de Alerta

Ingeniería Inversa

Análisis forense

Sistemas de gestión de

incidentes

Sistemas de intercambio de

información

Ley 11/2007 y Real Decreto 3/2010, 8 de Enero, que define

el Esquema Nacional de Seguridad para la Administración

Electrónica. RD 951/2015, 23 de octubre. Actualización

AMENAZAS 2015

TENDENCIAS 2016

Año

Concepto

Seguridad Amenaza Cambios Tecnológicos

1980-90

Compusec

Netsec

Transec Naturales

Telecomunicaciones

Sistemas Clasificados

1990-2004 Infosec

Info. Assurance Intencionadas

Redes corporativas

Sist. Control industrial

Infraestructuras Criticas

2005-2010 Ciberseguridad

Ciberdefensa

Ciberespionaje

Ciberterrorismo

Telefonía móvil

Redes sociales

Servicios en Cloud

2010-2015 Ciberresiliencia

Seg. Transparente

Defensa activa

Ciberguerra

APT

Hacktivismo

BYOD

Shadow IT

…//…

Access: Usuarios

Equipos

Power: Controladores de

dominio

Data: Servidores

Aplicaciones

Tomando el control

1. Objetivos en masa / definidos

2. Usuarios con altos privilegios son el principal objetivo

3. Buscan credenciales “de lo que sea”

4. Búsqueda de credenciales cacheadas, cuentas de acceso a dominio, correo electrónico, etc..

5. Si logran acceder a toda la red, la empresa está perdida

Definiciones. Agentes de la amenaza

25

CIBERSEGURIDAD

La habilidad de proteger y defender las redes o sistemas de los ciberataques.

Estos según su motivación pueden ser:

CIBERESPIONAJE

Ciberataques realizados para obtener secretos de estado, propiedad industrial,

propiedad intelectual, información comercial sensible o datos de carácter personal.

CIBERDELITO / CIBERCRIMEN

Actividad que emplea las redes y sistemas como medio, objetivo o lugar del delito.

HACKTIVISMO

Activismo digital antisocial. Sus practicantes persiguen el control de redes o sistemas

(sitios web) para promover su causa o defender su posicionamiento político o social.

CIBERTERRORISMO

Actividades dirigidas a causar pánico o catástrofes realizadas en las redes y sistemas

o utilizando éstas como medio.

CIBERCONFLICTO / CIBERGUERRA

CIBERATAQUE

Uso de redes y comunicaciones para acceder a información y servicios sin

autorización con el ánimo de robar, abusar o destruir.

El 90% de los incidentes aprovechan un defecto del software ya conocido (No son zero-day)

El análisis de 45 aplicaciones de negocio mostró que cerca del 70% de los defectos de seguridad eran

defectos de diseño

Existe una demostrada incapacidad de los fabricantes para desarrollar aplicaciones carentes de vulnerabilidades

Un millón de líneas de código tiene una media de entre 1000 y 5000 defectos software en producción

Vulnerabilidad Tecnología

La ciberamenaza es una de las amenazas más importantes del siglo XXI.

La tecnología forma parte ya de nuestras vidas, la ciberseguridad va irremediablemente unida a ella.

No se es consciente de hasta qué punto el día a día de los ciudadanos depende de

un adecuado nivel de ciberseguridad

Los dos retos más importantes a los que nos enfrentamos en relación con la

ciberseguridad son:

La complejidad y sofisticación de los ciberataques

La falta de formación y concienciación en profesionales y directivos

En el actual escenario mundial, las ADMINISTRACIONES PÚBLICAS y EMPRESAS

son objetivos de primera línea de los ciberataques. Ya no sólo las atacan los

empleados descontentos, los hackers, los ciberdelincuentes o los grupos

criminales, también los Estados.

Ciberamenaza

2015

Incidentes 2015

Atacantes - Motivación

ROBO DE INFORMACIÓN

BENEFICIO ECONÓMICO

PROVOCACIÓN DE DAÑOS

REIVINDICACIÓN SOCIAL O POLÍTICA

SUPERIORIDAD EN EL CIBERESPACIO

Ciberespionaje

Ciberdelito

Ciberterrorismo

Hacktivismo

Ciberdefensa

Ciberataque. Motivación

Ciberamenaza. Agentes

2. Ciberdelito/Cibercrimen

Hackers y Crimen Organizado

3. Ciberactivismo

ANONYMOUS y otros grupos

1. Ciberespionaje/Robo patrimonio tecnológico, propiedad intelectual

China, Rusia, Irán, otros… Servicios de Inteligencia/Fuerzas Armadas/Otras empresas

5. Ciberterrorismo

Ataque a Infraestructuras críticas y otros servicios -

+

+

=

4.Uso de INTERNET por terroristas

Objetivo : Comunicaciones , obtención de información, propaganda, radicalización o financiación

+

+

Usuarios Internos

Ciberamenaza. Agentes

Estados / Industrias / Empresas

Ataques Dirigidos (APT)

Dificultad de atribución. Contra los Sectores Privado y Público.

Ventajas políticas, económicas, sociales…

RUSIA Utilización de herramientas diseñadas específicamente contra el objetivo

Conocimiento técnico muy elevado

Evitar atribución

Esfuerzo HUMINT

AA.PP.

CHINA Programa activo desde 2011. Interés en Propiedad intelectual EMPRESAS

Aeroespacial / Energía / Defensa / Gubernamental / Farmacéutico / Químico / Tecnologías de información / Financiero / Transporte

Uso de herramientas comerciales Diferentes grupos con nivel técnico diverso

OTROS PAÍSES ?

Ciberamenaza. APT

Clasificación por capacidades

Nivel 1 Profesionales que emplean desarrollos de código dañino y mecanismos de infección

de terceros (usan exploits conocidos).

Nivel 2 Profesionales de gran experiencia que desarrollan herramientas propias a partir de vulnerabilidades conocidas.

Nivel 3 Profesionales que se focalizan en el empleo de código dañino desconocido. Usan Rootkits en modo usuario y kernel. Usan herramientas de minería de datos. Atacan personal clave en las organizaciones para robar datos personales / corporativos para su venta a otros criminales.

Nivel 4 Grupos Criminales / esponsorizados por Estados organizados, con capacidades técnicas y financiados para descubrir nuevas vulnerabilidades y desarrollar exploits.

Nivel 5 Grupos esponsorizados por Estados que crean vulnerabilidades mediante programas de influencia en productos y servicios comerciales durante su diseño, desarrollo o comercialización o con la habilidad de atacar la cadena de suministro para explotar redes / sistemas de interés.

Nivel 6 Estados con la capacidad de ejecutar operaciones conjuntas (ciber, de inteligencia y militares) para conseguir sus objetivos políticos, económicos, militares…

Agentes de la Amenaza. Niveles

Ciberataque. Factores de la Amenaza

C&C Atacante

Entorno estándar de red informática

SUBSIDIARIA

DIVISIÓN A

INTERNET

DIVISIÓN B

PROVEEDOR

Intrusión inicial

CLOUD

Servidores

repositorio

atacante

DIVISIÓN C

SUBSIDIARIA

RED INTERCONEXIÓN CORPORATIVA

Establecimiento de puerta trasera (backdoor)

Credenciales, incremento de privilegios

¿Contraseña?

¿Admin?

Keylogger

¿Contraseña?

¿Admin?

Keylogger

¿Contraseña?

¿Admin?

Keylogger

Propagación

Instalación utilidades

Fuga de datos (exfiltration)

Mantener persistencia y… ¿quién sabe?

Ciberataque. Fases

Infraestructura

Siempre Varios saltos para dificultar la geolocalización del ataque,

Se utilizan diferentes infraestructuras para realizar los ciberataques:

Infraestructura propia

Compra de VPS (Virtual Private Server) en empresas que ofrecen estos servicios, utilizando datos ficticios.

Uso de servicios de DNS dinámico.

Infraestructura “prestada”

Comprometimiento de servidores web legítimos.

Comprometimiento de servidores web del objetivo.

Varios saltos para evitarla geolocalización del ataque.

Se puede obtener el código fuente del servidor de mando y control.

Dificulta la detección de la infección.

Ciberamenaza. Infraestructura

Comunicaciones Externas/Internas

Comunicaciones externas

Básico. Protocolo HTTP. Puerto 80 / 443. Comunicación periódica contra el servidor de Mando y Control

Medio. Uso de cifrado simétrico

Avanzado. Uso de cifrado asimétrico (PGP / GPG). Comunicación distribuida contra varios servidores de Mando y Control

Comunicaciones internas

Protocolo SMB

Uso de tuberías nombradas (named pipes)

Conexiones a IPC$

Utilización de credenciales de administración

Ciberamenaza. Comunicaciones

Comunicaciones Externas. Exfiltración.

Diferentes formas de enviar la información robada:

Básico. Dentro de peticiones POST hacia el servidor de Mando y Control

Medio. Subida a un FTP externo hackeado

Avanzado

Uso de redes sociales: Twitter, Facebook, …

Uso de correo electrónico: GMail, Yahoo!, …

Uso de servicios de almacenamiento en la nube:

DropBox, Amazon AWS, Google Drive, …

Uso de Google Docs

Tratamiento de la información robada

B/M Compresión de ficheros con contraseña utilizando el compresor rar.

Almacenamiento información robada en papelera de reciclaje del

equipo

A. Contenedores cifrados NO Visibles.

Ciberamenaza. Comunicaciones

Malware

Dependiendo de los recursos disponibles se utiliza malware

comercial o desarrollado a medida.

¿Por qué malware comercial?

No hay que invertir recursos adicionales.

Se puede modificar para que sea invisible ante los antivirus.

Porque FUNCIONA.

EJEMPLOS:

WebC2

Para comunicarse con su servidor de mando y control introduce

comentarios dentro del código HTML

Poison Ivy

Del tipo RAT (Remote Administrator Tool).

Altamente configurable

Cifrado de las comunicaciones

Ciberamenaza. Herramientas

En el 75 % de los casos se utilizan ataques de Spear Phishing para

conseguir la infección de la red objetivo.

Correo electrónico especialmente diseñado para engañar al receptor y

obtener datos sensibles de éste. Se centra únicamente en objetivos

concretos

Analizar:

• Cabeceras del correo electrónico • Cuerpo

• Anexos / enlaces

Vector de infección. Correo electrónico

Ciberamenaza. Vectores de Infección

Este ataque está relacionado con Drive-by Download Attack: cualquier tipo de

descarga e instalación de software no deseado desde Internet (programas,

ActiveX., Java Applets…) típicamente a través de e-mail, ventanas de pop-up

o una web

Ataque a un grupo concreto de usuarios con un interés común donde se

compromete un sitio “confiable” para todos ellos de manera que, al visitarlo,

queden infectadas o se descarguen aplicaciones maliciosas.

Vector de infección. Watering Hole

Ciberamenaza. Vectores de Infección

Colonización / Persistencia

Acciones realizadas por el atacante dentro de nuestra red:

Robo de credenciales

mimikatz, gsecdump

Fuerza bruta contra controladores de dominio

Instalación de puertas traseras

Instalación de shell remotas en servidores

Infección de equipos con otro tipo de malware

Otras acciones que suelen realizarse por parte de los atacantes:

Si son descubiertos, lanzan un ataque DDoS como distracción.

Mayor resistencia a la Ingeniería Inversa.

Mayor Seguridad de Operaciones.

• Cese de actividad en un período de tiempo

• Maniobras distracción, mayor relación con otros grupos

• Menor actividad en países de habla inglesa

• Empleo de nuevas técnicas… Watering Hole

Ciberamenaza. Colonización/Persistencia

Infraestructuras Sistemas C&C

Nodos

Saltos

IP,s / Dominios

…//…

Capacidades Exploits propios

Vectores infección

Cifrado / RAT

Persistencia

…//…

Atacantes Actores

Motivación

Financiación

Formación

Modus Operandi

…//…

Víctimas

Sectores afectados

Métodos detección

…//…

The Diamond Model of Intrusion Analysis

www.activeresponse.org

- Socio-Política, que vincula al

Adversario con su Víctima

- Tecnológica, que vincula la

Infraestructura con la Capacidad

Ciberataque. Taxonomía

Factores facilitadores de los Ciberataques (INSUFICIENTE PROTECCIÓN)

- Falta de concienciación = Éxito de la Ingeniería Social

• Infecciones rápidas y masivas

- Existencia de vulnerabilidades día cero

- Sistemas de Seguridad Reactivos

• No se quieren falsos positivos

• Actualizaciones lentas o sin ejecutar en algunas tecnologías

- Poco personal dedicado a seguridad

• Escasa vigilancia. Solo el perímetro

• Fácil progresión por las redes internas de las organizaciones

- Mayor superficie de exposición: redes sociales, telefonía móvil y servicios

en la nube

- Organizaciones poco proclives a comunicar incidentes

- La atribución es MUY DIFÍCIL.

Ciberamenaza. Factores

¿Qué hemos aprendido todos este tiempo

sobre las APT?

Ciberamenaza. APT

Ataque Dirigido Ciber Ataque “a medida” contra un objetivo concreto (administración,

empresa, red, sistema).

Threat El atacante tiene la intención y capacidades para ganar el acceso a

información sensible almacenada electrónicamente.

Persistent Una vez infectado, se mantiene el acceso a la red/sistema durante un

largo periodo de tiempo

Muy difícil de eliminar

Advanced Habilidad de evitar la detección

Se adapta al objetivo

Disponibilidad de recursos tecnológicos, económicos, humanos

Advanced Persistent Threat

Ciberamenaza. APT

Ciberamenaza. APT

TIEMPOS DE RESPUESTA EN UN APT

VERIZON rp_data-breach-investigations 2012

Ciberamenaza. Tiempos Actuación

CAMPAÑAS MÁS CONOCIDAS

• Agent BTZ (2003-2015)

• Snake / Uroburos / Turla (2006)

• USBLink/Zawadi (2010/2013/2015)

• Red October (2013)

• WebDav (2014)

• Energetic Bear / Dragonfly (2014)

• Crounching Yeti

• Duke (APT29) (2007-2015)

• TeamSpy (2010)

• Sofacy/APT 28 (2015)

Ciberamenaza. APT

Respecto de… Es de esperar…

El número de atacantes (estados o delincuentes profesionales) con

capacidad para desarrollar ciberataques…

… aumentará.

Debido al número limitado de desarrolladores de software de

calidad…

… el denominado “Cybercrime-As-A-Service” aumentará,

reduciendo las barreras de entrada para los ciberdelincuentes.

La sofisticación de los adversarios… … se incrementará, por lo que la detección y la respuesta serán

más difíciles.

El spear-phishing… … seguirá siendo muy utilizado por los atacantes, así como es

previsible el aumento de las infecciones por Watering Hole.

El Ransomware/Cryptoware… … seguirá siendo una amenaza de las de mayor importancia.

Los adversarios con altas capacidades de destrucción

(ciberterrorismo)…

… aumentarán en número, así como el volumen de incidentes. No

se prevé incremento sustancial en las capacidades técnicas

Las desfiguraciones de páginas web y secuestro de medios de

comunicación social…

… aumentará.

Ciberamenaza. Tendencias 2016

¿Me puede pasar a mí?

IMPACTO EN ORGANIZACIONES

Debilidades de Nuestros Sistemas de Protección

Falta de concienciación y desconocimiento del riesgo

Sistemas con Vulnerabilidades, escasas configuraciones de

seguridad y Seguridad Reactiva. (OBJETIVOS BLANDOS)

Poco personal de seguridad y escasa vigilancia

Ausencia herramientas faciliten investigación

Mayor superficie de exposición (Redes sociales, Telefonía móvil

(BYOD) y Servicios en nube)

Afectados NO comparten información. NO comunican incidentes

Informe ransomware

2015-2016

Ciberamenaza. Tendencias 2016

Familia y versión de ransomware:

https://id-ransomware.malwarehunterteam.com/

¿Qué es el ransomware?

57

Ransom = Rescate

Ware = Software

Historia del ransomware I

58

1989 - AIDS ransomware

Dr. Joseph Popp diseña aplicación sobre el virus del SIDA

Aplicación de pago, pide renovación licencia

Cuando el equipo es arrancado 90 veces Cifrado simétrico

Historia del ransomware II

59

1996 – Primera PoC de ransomware usando RSA

2006 – Reaparición usando RSA y claves de 660 bits

2011 – Virus de la Policía

2013 – Aparición de CryptoLocker

Tipos Ransomware

60

Locker (Virus Policía)

CriptoVirus

Evolución histórica

61

Víctimas

62

Home users

Empresas

Instituciones públicas

Tendencias actuales

63

Windows

Teslacrypt

Locky

Torrentlocker

[…]

OSX

KeRanger

Linux

Linux.Encoder

Nuevas tendencias

64

Web Servers

Móviles

SmartWatch

TV’s

[IoT]

Ciberamenaza. Tendencias 2016

Malware diseñado para robar datos bancarios.

Las víctimas reciben un correo electrónico que simula ser una factura o el envío de un

paquete con un albarán adjunto.

Los equipos se infectan al descargar el archivo adjunto de Microsoft Word que

contiene macros.

Este malware cifra los archivos del ordenador y exige un pago a quien quiera recuperar el control del equipo infectado.

Locky

66

Ransomware que se dirige a 185 extensiones de archivos relacionados

con 40 juegos diferentes, cifrando dichos archivos.

Las últimas versiones también infectan equipos sin juegos instalados, buscando extensiones típicas de archivos Word o

pdf.

Este malware aprovecha una vulnerabilidad de Adobe Reader para

infectar los equipos.

Teslacrypt

67

Petya

Tipo de ransomware que está empezando

a detectarse durante este mes.

Cifra la MFT y modifica el MBR.

¡Ya existe descifrador!

Nuevas tendencias - Abril 2016

68

Campaña de Correos

Se recibe un email indicando que se intentó

entregar un paquete sin éxito. Se adjunta una url

donde acceder para ver los datos del envío, esta url

lleva una redirección para la descarga del

ransomware.

Esta campaña utiliza una variante de torrentlocker

conocida como crypt0l0cker, se han detectado 7

oleadas hasta la fecha, reportándose 151 incidentes

en lo que va de 2016.

Nuevas tendencias - Abril 2016

69

Mantener copias de seguridad periódicas de los datos importantes

Mantener el sistema actualizado con los últimos parches de seguridad

Mantener un antivirus actualizado con las últimas firmas de código dañino, así como una correcta configuración de los firewalls.

Disponer de sistemas antispam a nivel de correo electrónico

Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware

Bloquear el tráfico relacionado con dominios y servidores C&C mediante un IDS/IPS

Establecer una defensa en profundidad empleando herramientas como EMET

No utilizar cuentas con privilegios de administrador.

Medidas preventivas

70

Deshabilitar JS en Acrobat Reader

71

Deshabilitar Flash y PDF en Chrome

72

Chrome://plugins

Desinstalar QuickTime

73

• Sin soporte de Apple

• 2 vulnerabilidades críticas descubiertas 14/04/2016

Desconectar las unidades de red.

Comprobar si el proceso dañino aún sigue ejecutándose.

Finalizar la ejecución del proceso dañino.

Arrancar el equipo en Modo Seguro.

Realizar una copia de seguridad del equipo.

Comunicar el incidente de seguridad al equipo/persona competente.

Medidas reactivas

74

Estadísticas 2015

75

Cryptolocker 21%

Torrentlocker 20%

Teslacrypt 17%

Cryptowall 25%

Otros 17%

Tipo Nº incidentes

Cryptolocker 93

Torrentlocker 89

Teslacrypt 73

Cryptowall 109

Otros 73

Estadísticas 2016

76

Tipo Nº incidentes

Locky 231

Teslacrypt 132

Torrentlocker* 151

Otros 37

Locky 42%

Teslacrypt 24%

Torrentlocker 27%

Otros 7%

* Incluye Crypt0l0cker

¿Solución general?

77

Ciberamenaza. Tendencias 2016

El día de mañana…

o Windows, Linux, OS X, Android, iOS... uno no sabe ya donde

esconderse o qué medidas tomar.

o Puedes desactivar Java, Flash e incluso reducir el uso de

Javascript, usar un navegador seguro y actualizado e incluso no

andar por ahí con una cuenta privilegiada o analizar los adjuntos

del correo.

o Ya no te infectas navegando o te hacen llegar un archivo con

"las nóminas de todo el personal.xls.exe".

o Se aprovechan de nuestra confianza en qué aquello que

estamos descargando es "está limpio" porque viene de un sitio

conocido o controlado.

o Ni eso… al final, el malware encontrará un resquicio por donde

pasar.

Prevención

La Prevención abarca todas las actividades de:

• Concienciación

• Formación

• Elaboración de políticas, procedimientos y requisitos de seguridad

• Desarrollo, evaluación y certificación de la seguridad de productos y

sistemas

• Implementación de medidas técnicas, configuraciones y arquitecturas

de seguridad

• Valoración, inspección, acreditación y auditoría de la seguridad

Prevención

Usuarios Portal CCN-CERT

Formación - Cursos STIC

67%

14%

12%

2%

5%

Usuarios registrados por origen

general

autonómica

local

universidades

empresas

Prevención

Detección

La Detección abarca todas las actividades de:

• Despliegue de detectores y sistemas de alerta

• Recolección de logs, monitorización de tráfico y vigilancia de la red

• Análisis de malware, ingeniería inversa y análisis forense

• Caracterización técnica de la amenaza y elaboración de inteligencia

técnica sobre la misma

Detección

RED SARA [SAT- SARA]

• Servicio para la Intranet Administrativa

• Coordinado con MINHAP-SEAP

• 49/54 Áreas de Conexión

SALIDAS DE INTERNET [SAT INET]

• Servicio por suscripción

• Basado en despliegue de sondas.

• 96 Organismos / 115 sondas

Sistemas de Alerta Temprana (SAT)

Detección

Sistema Alerta Temprana

AGE

57% Ad.

Autonómica

13%

Empresas

12%

Entidades

Locales

11%

Universidades

7%

Detección

Respuesta

La Respuesta abarca:

Por una parte, todas las actividades para:

• Neutralizar técnicamente la amenaza

• Limpiar y desinfectar los sistemas

• Mitigar el impacto

• Elaborar inteligencia sobre la amenaza, su impacto y sobre el agente

de la amenaza

Por otra parte, también puede suponer llevar a cabo acciones de

respuesta de carácter

• Político / Diplomático

• Contrainteligencia/operaciones de información

• Militar/Information Warfare

• Legal, judicial y/o policial.

Respuesta

HERRAMIENTAS

DETECCIÓN ANÁLISIS AUDITORÍA INTERCAMBIO

Ciberseguridad. Herramientas

RETOS DE LA CIBERSEGURIDAD

Ser menos vulnerable

Equilibrio entre Privacidad y Seguridad

Desplegar y Coordinar Sistemas de Alerta

Colaboración Pública-Privada

Concienciación y Formación

Capacitación Técnica e Inteligencia

Capacitación Legal

Estímulo de la Economía vs Ciberseguridad

Ciberseguridad. Retos

1. Aumentar la capacidad de Vigilancia.

2. Herramientas de Gestión Centralizada.

3. Política de seguridad.

4. Aplicar configuraciones de seguridad.

5. Empleo de productos confiables y certificados.

6. Concienciación de usuarios.

7. Compromiso de dirección (Aceptación Riesgo)

8. Legislación y Buenas Prácticas.

9. Intercambio de Información.

10.Trabajar como si se estuviera comprometido.

Ciberseguridad. Decálogo

¿Qué puedo hacer yo?

En el 95% de los casos se utilizan ataques de spear phishing para

conseguir la infección de la red objetivo.

¿En qué consiste el spear phishing?

Correo electrónico especialmente diseñado para engañar al receptor y

obtener datos sensibles de éste.

¿En qué se diferencia del phishing?

El phishing está pensado para engañar a un elevado número de víctimas,

mientras que el spear phishing se centra únicamente en

objetivos concretos.

Vector de entrada - Ingeniería Social

¿Cómo cazar un bicho? Cuidado con los adjuntos

Ejecutable

¿Realmente alguien sigue ejecutando ficheros .exe desde el correo hoy

en día? Solución: RTLO, salvapantallas (.scr)

Word, Excel, PowerPoint

Se debe evitar la apertura de estos ficheros si no estamos seguros

completamente del remitente.

Macros!!

PDF

Se debe evitar la apertura de estos ficheros si no estamos seguros

completamente del remitente.

¡¡Uso de herramientas corporativas!!

SIN CLASIFICAR

Vector de entrada - Ingeniería social

Telefonía móvil. De diversificación a oligopolio en sistemas operativos

1T09 1T10 1T11 1T12 1T13 1T14 4T14

Other

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Cuota de ventas I Unidades

+ 96% 2014

+ Un riesgo potencial adicional

Posición dominante en

• Preferencias del consumidor

• Plataformas de servicios

• Servicios y aplicaciones

• Dispositivos

Teléfonos móviles. Código dañino

- Código dañino

Llamadas entrantes y salientes

Mensajes SMS,

Ficheros descargados

Las coordenadas GPS

Mensajeria (Whatsup…)

Lista de contactos

CCN-STIC 450/53/54/55/57

CCN-STIC 827

Cómo de seguro es tu PIN. ¿Dónde lo almacenas?

Ignorancia de buenas prácticas de

seguridad y a la falta de concienciación

por parte de los usuarios del Sistema

80% Comienzan desde una

esquina

45% Comienzan desde esquina

superior izda.

De media usan sólo 5 puntos =

7.152 combs.

MÁS SIMPLE QUE UN PIN DE

4 DÍGITOS

94

¿A qué acceden?

1. Revisa los permisos de las aplicaciones que instalas

2. Restringe al máximo los privilegios de las apps

3. El mejor antivirus es el sentido común

4. La política de seguridad debe ser equivalente a la

aplicada a los portátiles corporativos

Teléfonos móviles. Seguridad en las aplicaciones

95

Soportes de Información

Número de tarjeta de crédito

Copias en legibles de los documentos cifrados

Los registros temporales con datos de clientes

Claves de acceso a sitios seguros

En los discos duros de los ordenadores

hay enormes cantidades de datos ocultos

para los usuarios, pero fácilmente

accesibles. Entre estos datos se

encuentran archivos que ingenuamente

creemos que hemos borrado, claves de

acceso, versiones descifradas de archivos

confidenciales y todo tipo de rastros sobre

la actividad del equipo.

¡Cuidado con las copias sin cifrar!

Usar unidades de red

CONCLUSIONES

• Incremento constante del número, sofisticación y complejidad de los

ciberataques

• El ciberespionaje sobre las administraciones públicas y las empresas

estratégicas es la amenaza más importante para los intereses nacionales y

la seguridad nacional

• La dificultad de atribución es el factor que caracteriza esta amenaza en

relación con otras.

• La amenaza procede tanto de países con intereses encontrados como de

países amigos.

• Es preciso reforzar la capacidad de prevención y protección en todas las

instancias del Estado (ciudadanos, empresas y administraciones públicas)

• Es preciso reforzar las capacidades de INTELIGENCIA para la identificación

de atacantes, determinación de sus objetivos y difusión de Inteligencia al

respecto.

Ciberamenaza. Conclusiones

Gracias

E-Mails

ccn-cert@cni.es

info@ccn-cert.cni.es

ccn@cni.es

sat-inet@ccn-cert.cni.es

sat-sara@ccn-cert.cni.es

incidentes@ccn-cert.cni.es

organismo.certificacion@cni.es

Websites

www.ccn.cni.es

www.ccn-cert.cni.es

www.oc.ccn.cni.es