Un informe de la compañía de ciberseguridad Sophos muestra una gran cantidad de información sobre SamSam, un ransomware con el que se ha conseguido recaudar la impresionante cantidad de 6 millones de dólares, y que podría seguir los destructivos pasos de WannaCry y NotPetya.
El informe ha sido realizado mediante diversos análisis, entrevistas e investigaciones, contando con la colaboración de una organización de especialistas en la monitorización de criptodivisas. Sophos ha descubierto nuevos detalles sobre el ransomware SamSam, que según la compañía de ciberseguridad es más peligroso de lo que se esperaba en un principio.
La mayoría de los ransomware están diseñados para dispersarse de forma más o menos indiscriminada (WannaCry fue uno de ellos) para poder impactar en la mayor cantidad de objetivos, sin embargo, SamSam no responde ante este principio, ya que está siendo utilizado en ataques dirigidos que son llevados a cabo por equipos o una persona con amplios conocimientos sobre ciberataques, los cuales irrumpen en la red de la víctima, la supervisan y luego ejecutan el malware manualmente. Los ataques están diseñados de forma que provoquen el máximo daño posible y pidiendo rescates de decenas de miles de dólares, frente a las decenas o pocos cientos que suelen pedir a través de la mayoría de los ransomware.
Aunque la primera aparición conocida de SamSam fue en 2015, el hecho de que haya entrado en acción pocas veces (debido a que es empleado en ataques dirigidos) ha hecho que hasta hace poco no se tuvieran muchos detalles técnicos sobre cómo funciona y cómo se desarrollan los ataques. De hecho, se ha estimado que solo hay, como mucho, un ataque por día. Esto hace que las probabilidades de recibir un ataque mediante SamSam sean bajas, pero es importante tener en cuenta sus devastadores efectos.
SamSam es un ransomware bastante sofitisticado, ya que además de ser introducido en una red, es capaz de escanear para luego realizar una lista de máquinas cuyos ficheros acabarán cifrados. Si WannaCry se aprovechó de una vulnerabilidad, SamSam actúa de forma muy diferente, implementándose en las computadoras de la red objetivo de forma que se hace pasar por herramientas legítimas.
En un principio se pensó que SamSam iba dirigido sobre todo contra sistemas sanitarios, gobiernos y el sector educativo, pero la investigación más fondo llevada a cabo por Sophos, en la cual se hizo un seguimiento del dinero, muestra que fue el sector privado el más golpeado, pero esto no se ha sabido antes debido a que las empresas fueron reacias a informar de que fueron víctimas de este ransomware. Tras analizar los nuevos datos, se ha descubierto que los cibercriminales recaudaron mediante SamSam unos 6 millones de dólares.
Lo destructivo que resulta el ransomware que nos ocupa, debido a que se dirige contra los ficheros del sistema operativo, fuerza las empresas a tener que hacer mucho más que copias seguridad, sino que para poder hacerle frente tendrán que contratar un plan integral de reconstrucción de máquinas.
Para acceder a la red de la víctima los atacantes tras SamSam emplean RDP (Remote Desktop Protocol) mediante software como nlbrute (de fuerza bruta) para hallar contraseñas débiles que se están utilizando. Los expertos de Sophos han averiguado que se adapta a la zona horaria donde se ubica la red a atacar, de forma que siempre entra en acción de noche, ya sea en Reino Unido o California (por nombrar dos lugares distantes).
Carece de capacidades propias de los virus o los gusanos, por lo que no puede esparcirse por sí mismo. Esto refuerza su enfoque como herramienta para ataques dirigidos, forzando al atacante a tener muchos más conocimientos debido a que este último tiene que adaptarse al entorno y a las defensas que se va encontrando en cada ataque, aunque también abre la puerta a poder llevar a cabo ataques adaptados y a que el atacante permanezca en una red hasta tener éxito o lo descubran.
En caso de resultar exitosos los intentos de acceder, el operador tras SamSam intentará llevar a cabo mediante diversas herramientas una escalada de privilegios hasta llegar al Administrador del Dominio. Por otro lado, comprobará la red para hallar objetivos vulnerables para implementar y ejecutar el malware como si fuera un administrador del sistema, empleando para ello herramientas como PsExec y PaExec. Tras ser extendido, el ransomware entra en acción mediante una activación centralizada, haciendo que cada máquina infectada termine con sus ficheros cifrados de forma que se provoque el máximo daño en la mayor brevedad posible. Una vez completados los procesos de cifrado, al atacante solo le queda esperar a que le paguen el rescate, cuya cuantía puede ascender hasta los 50.000 dólares.
Más allá de las medidas generales que se pueden poner en práctica para prevenir el ransomware, contra SamSam sería recomendable tomar las siguientes:
- Restringir el acceso mediante RDP a personal que se conecte mediante VPN.
- Utilización autenticación multifactor para el acceso a la VPN y lo sistemas internos sensibles.
- Realizar pruebas para hallar vulnerabilidades y realizar pruebas de penetración.
- Tener copias de seguridad offline (no conectadas a la red) y fuera del sitio donde se ubiquen los datos.
Fuente: muyseguridad.net