Una investigación exhaustiva de Sophos ha descubierto una gran cantidad de información nueva sobre el famoso ransomware SamSam, que revela que ha afectado a muchas más víctimas de lo que se pensaba anteriormente, y aumentó mucho más en cuanto a las demandas de rescate: casi $ 6 millones.
A través del análisis original, entrevistas e investigaciones, y colaborando estrechamente con socios de la industria y una organización especialista en monitoreo de criptomonedas, Sophos ha descubierto nuevos detalles sobre cómo se usa el secreto y sofisticado ransomware SamSam, a quién se ha dirigido, cómo funciona y cómo está evolucionando.
Una clase diferente de malware
Lo que diferencia a SamSam de la mayoría de los otros ransomware, y por qué la investigación detallada sobre él es tan importante, es la forma en que se usa en ataques dirigidos sigilosos.
La mayoría del ransomware se propaga en campañas de spam grandes, ruidosas y sin objetivo enviadas a miles, o incluso a cientos de miles, de personas. Usan técnicas simples para infectar a las víctimas y tienen como objetivo recaudar dinero a través de grandes cantidades de rescates relativamente pequeños de quizás unos pocos cientos de dólares cada uno.
SamSam es muy diferente: se usa en ataques dirigidos por un equipo o individuo calificado que irrumpe en la red de la víctima, lo vigila y luego ejecuta el malware manualmente. Los ataques están diseñados para causar el máximo daño y las demandas de rescate se miden en decenas de miles de dólares.
Debido a que el malware se ha utilizado tan poco comparado con otros tipos de ransomware, los detalles sobre cómo funciona y cómo se desarrollan los ataques han sido difíciles de alcanzar desde su primera aparición en diciembre de 2015.
Aunque es poco probable que sea el blanco de un ataque de ransomware de SamSam (los ataques ocurren a razón de aproximadamente uno por día), los que lo hagan pueden encontrar devastadores los efectos.
A través del análisis original, entrevistas e investigaciones, y colaborando estrechamente con socios de la industria y una organización especialista en monitoreo de criptomonedas, Sophos ha descubierto nuevos detalles sobre cómo se usa el secreto y sofisticado ransomware SamSam, a quién se ha dirigido, cómo funciona y cómo está evolucionando.
Una clase diferente de malware
Lo que diferencia a SamSam de la mayoría de los otros ransomware, y por qué la investigación detallada sobre él es tan importante, es la forma en que se usa en ataques dirigidos sigilosos.
La mayoría del ransomware se propaga en campañas de spam grandes, ruidosas y sin objetivo enviadas a miles, o incluso a cientos de miles, de personas. Usan técnicas simples para infectar a las víctimas y tienen como objetivo recaudar dinero a través de grandes cantidades de rescates relativamente pequeños de quizás unos pocos cientos de dólares cada uno.
SamSam es muy diferente: se usa en ataques dirigidos por un equipo o individuo calificado que irrumpe en la red de la víctima, lo vigila y luego ejecuta el malware manualmente. Los ataques están diseñados para causar el máximo daño y las demandas de rescate se miden en decenas de miles de dólares.
Debido a que el malware se ha utilizado tan poco comparado con otros tipos de ransomware, los detalles sobre cómo funciona y cómo se desarrollan los ataques han sido difíciles de alcanzar desde su primera aparición en diciembre de 2015.
Aunque es poco probable que sea el blanco de un ataque de ransomware de SamSam (los ataques ocurren a razón de aproximadamente uno por día), los que lo hagan pueden encontrar devastadores los efectos.
Nuevas perspectivas
El documento de investigación revela una gran cantidad de nuevos conocimientos técnicos, incluidos nuevos detalles sobre cómo SamSam escanea las redes de las víctimas y construye la lista de máquinas que cifrará.
Sin embargo, quizás lo más llamativo sea la nueva información sobre cómo se propaga: a diferencia de WannaCry, que aprovechó una vulnerabilidad de software para copiarse en máquinas nuevas, SamSam se implementa en las computadoras de la red de la víctima de la misma manera y con las mismas herramientas. como aplicaciones de software legítimas.
La investigación de Sophos también arroja nueva luz sobre la cantidad de ataques, la frecuencia con que ocurren y quién ha sido el objetivo.
Con base en las víctimas conocidas, se ha especulado ampliamente hasta ahora que los ataques de SamSam están dirigidos específicamente a los sectores de salud, gobierno y educación. Sophos puede revelar que este no es el caso.
Trabajando con la organización de monitoreo de criptomonedas Neutrino, Sophos siguió el dinero e identificó muchos pagos de rescate y víctimas que antes eran desconocidas. Con base en el número mucho mayor de víctimas que ahora se conoce, parece que, lejos de verse afectado, el sector privado realmente ha soportado la peor parte de SamSam. Las víctimas en ese sector simplemente han sido mucho más reacias a presentarse.
El rastro del dinero también reveló que SamSam ha obtenido casi $ 6 millones en pagos de rescate, alrededor de seis veces más que el mejor estimado más reciente.
El documento de investigación revela una gran cantidad de nuevos conocimientos técnicos, incluidos nuevos detalles sobre cómo SamSam escanea las redes de las víctimas y construye la lista de máquinas que cifrará.
Sin embargo, quizás lo más llamativo sea la nueva información sobre cómo se propaga: a diferencia de WannaCry, que aprovechó una vulnerabilidad de software para copiarse en máquinas nuevas, SamSam se implementa en las computadoras de la red de la víctima de la misma manera y con las mismas herramientas. como aplicaciones de software legítimas.
La investigación de Sophos también arroja nueva luz sobre la cantidad de ataques, la frecuencia con que ocurren y quién ha sido el objetivo.
Con base en las víctimas conocidas, se ha especulado ampliamente hasta ahora que los ataques de SamSam están dirigidos específicamente a los sectores de salud, gobierno y educación. Sophos puede revelar que este no es el caso.
Trabajando con la organización de monitoreo de criptomonedas Neutrino, Sophos siguió el dinero e identificó muchos pagos de rescate y víctimas que antes eran desconocidas. Con base en el número mucho mayor de víctimas que ahora se conoce, parece que, lejos de verse afectado, el sector privado realmente ha soportado la peor parte de SamSam. Las víctimas en ese sector simplemente han sido mucho más reacias a presentarse.
El rastro del dinero también reveló que SamSam ha obtenido casi $ 6 millones en pagos de rescate, alrededor de seis veces más que el mejor estimado más reciente.
A partir de su nueva investigación, Sophos también puede ofrecer mejores consejos de protección y recuperación de desastres. Gracias a una mejor comprensión de la forma en que SamSam se dirige a los archivos en el sistema operativo de la víctima, Sophos ahora recomienda que la copia de seguridad de sus datos comerciales no sea suficiente. Para recuperarse rápidamente de un ataque de SamSam, las organizaciones necesitan más que un plan para restaurar datos: necesitan un plan integral para la reconstrucción de máquinas.
Cómo se desarrollan los ataques
El atacante SamSam obtiene acceso a las redes de las víctimas a través de RDP (Protocolo de escritorio remoto) mediante el uso de software como nlbrute para adivinar con éxito las contraseñas débiles.
Sophos ha identificado que el momento de los ataques cambia para reflejar la zona horaria de la víctima. Ya sea que la víctima se encuentre en la costa oeste de los EE. UU. O en el Reino Unido, los ataques ocurren durante la noche mientras las víctimas están durmiendo.
A diferencia de otros conocidos ransomware como WannaCry o NotPetya, SamSam no tiene ninguna capacidad de gusano o virus, por lo que no se puede propagar por sí mismo. En cambio, depende del atacante humano para propagarlo: un atacante que puede adaptar sus tácticas de acuerdo con el entorno y las defensas que descubren mientras vigilan al objetivo.
Cómo se desarrollan los ataques
El atacante SamSam obtiene acceso a las redes de las víctimas a través de RDP (Protocolo de escritorio remoto) mediante el uso de software como nlbrute para adivinar con éxito las contraseñas débiles.
Sophos ha identificado que el momento de los ataques cambia para reflejar la zona horaria de la víctima. Ya sea que la víctima se encuentre en la costa oeste de los EE. UU. O en el Reino Unido, los ataques ocurren durante la noche mientras las víctimas están durmiendo.
A diferencia de otros conocidos ransomware como WannaCry o NotPetya, SamSam no tiene ninguna capacidad de gusano o virus, por lo que no se puede propagar por sí mismo. En cambio, depende del atacante humano para propagarlo: un atacante que puede adaptar sus tácticas de acuerdo con el entorno y las defensas que descubren mientras vigilan al objetivo.
Al trabajar de esta manera, el atacante puede intentar una y otra vez solucionar las defensas y obtener el acceso que desea. Si el atacante de SamSam está en su red, es probable que permanezca en él hasta que tenga éxito, a menos que se lo denuncien.
Habiendo obtenido acceso a una red, el operador de SamSam usa una variedad de herramientas para escalar sus privilegios al nivel de Admin de dominio. Luego escanean la red en busca de objetivos valiosos e implementan y ejecutan el malware como lo haría cualquier administrador de sistemas que se precie, utilizando utilidades como PsExec o PaExec.
Una vez que se ha extendido por todas partes, las muchas copias del ransomware se activan centralmente, comenzando en cuestión de segundos el uno del otro. En cada máquina infectada, los archivos están encriptados de una manera diseñada para causar el mayor daño en el menor tiempo posible.
Una vez que se ha lanzado el ataque, el atacante espera para ver si la víctima hace contacto a través de un sitio de pago de Dark Web al que se hace referencia en la nota de rescate.
Las demandas de Ransom han aumentado con el tiempo a alrededor de $ 50,000, mucho más que las sumas de tres cifras típicas de los ataques ransomware no focalizados.
Habiendo obtenido acceso a una red, el operador de SamSam usa una variedad de herramientas para escalar sus privilegios al nivel de Admin de dominio. Luego escanean la red en busca de objetivos valiosos e implementan y ejecutan el malware como lo haría cualquier administrador de sistemas que se precie, utilizando utilidades como PsExec o PaExec.
Una vez que se ha extendido por todas partes, las muchas copias del ransomware se activan centralmente, comenzando en cuestión de segundos el uno del otro. En cada máquina infectada, los archivos están encriptados de una manera diseñada para causar el mayor daño en el menor tiempo posible.
Una vez que se ha lanzado el ataque, el atacante espera para ver si la víctima hace contacto a través de un sitio de pago de Dark Web al que se hace referencia en la nota de rescate.
Las demandas de Ransom han aumentado con el tiempo a alrededor de $ 50,000, mucho más que las sumas de tres cifras típicas de los ataques ransomware no focalizados.
¿Qué hacer?
Para evitar convertirse en una víctima, la mejor defensa contra SamSam o cualquier otra forma de malware es adoptar un enfoque de seguridad en capas y en defensa.
Los objetivos de SamSam parecen elegirse en función de su vulnerabilidad. Los ataques anteriores establecieron un punto de apoyo en las redes de víctimas mediante la explotación de vulnerabilidades de software conocidas. Más recientemente, los ataques comenzaron con la fuerza bruta de las credenciales de RDP.
Mantenerse al tanto de sus parches y mantener una buena disciplina de contraseñas, por lo tanto, proporcionará una barrera formidable para los ataques de SamSam. Esa barrera se puede fortalecer significativamente con estos simples pasos:
Para evitar convertirse en una víctima, la mejor defensa contra SamSam o cualquier otra forma de malware es adoptar un enfoque de seguridad en capas y en defensa.
Los objetivos de SamSam parecen elegirse en función de su vulnerabilidad. Los ataques anteriores establecieron un punto de apoyo en las redes de víctimas mediante la explotación de vulnerabilidades de software conocidas. Más recientemente, los ataques comenzaron con la fuerza bruta de las credenciales de RDP.
Mantenerse al tanto de sus parches y mantener una buena disciplina de contraseñas, por lo tanto, proporcionará una barrera formidable para los ataques de SamSam. Esa barrera se puede fortalecer significativamente con estos simples pasos:
1. Restrinja el acceso de RDP al personal que se conecta a través de una VPN.2. Utilice autenticación de múltiples factores para acceso VPN y sistemas internos sensibles.3. Escaneos completos de vulnerabilidades y pruebas de penetración.4. Mantenga las copias de seguridad fuera de línea y fuera de línea.
Por supuesto, SamSam es solo una de las millones de amenazas cibernéticas y este examen detallado de SamSam es solo parte de la constante investigación de malware en curso llevada a cabo por Sophos para mejorar y adaptar su capacidad de protección contra todas las formas de malware.
Puede leer más sobre la historia de SamSam, cómo funciona y cómo protegerse contra ella en el extenso y nuevo trabajo de investigación de Sophos, SamSam: The (Almost) Six Million Dollar Ransomware.
La investigación está en curso: si tiene información sobre SamSam o si es un proveedor de seguridad interesado en colaborar con nuestra investigación, comuníquese con Sophos.
 $ 6 millones){kind=link}
0 Comentarios