SamSam: así trabaja el ransomware que ha recaudado casi 6 millones de dólares en dos años
Durante los últimos meses, hemos visto un crecimiento sin precedentes de los ciberataques a escala mundial en número e impacto. El criptojacking y los botnet industriales han ocupado la mayor parte de las portadas del sector. Sin embargo, no hay que olvidar a los viejos enemigos. El ransomware sigue siendo uno de los ataques preferidos por los ciberdelincuentes. Y es que, según afirman estudio realizado por SophosLabs, el equipo de investigación de la empresa de ciberseguridad Sophos, el rastro del dinero recaudado por el famoso ransomware SamSam podría haber alcanzado los 6 millones de dólares de recaudación.
El ransomware SamSam, que apareció por primera vez en diciembre de 2015, usa una técnica de ataque dirigido controlada por un equipo cualificado que irrumpe en la red de la víctima, la vigila y luego ejecuta el malware manualmente, de tal manera que se asegura causar el máximo daño a cambio de obtener un rescate cuantioso, que se calcula en decenas de miles de dólares.
Para realizar esta investigación, Sophos ha trabajado con la empresa de monitorización de criptomonedas Neutrino, que ha facilitado el seguimiento del dinero e identificación de muchos pagos de rescate y víctimas. El hecho de poder encontrar a un mayor número de víctimas ha permitido a Sophos saber que el sector privado realmente ha soportado la peor parte de SamSam.
Esta nueva técnica de ataque nada tiene que ver con el ransomware tradicional que se propaga en grandes y ruidosas campañas de spam enviadas a miles, o incluso a cientos de miles, de personas como pudimos ver el año pasado con Petya o WannaCry. Estas técnicas simples tienen como objetivo recaudar grandes cantidades de dinero, pero pidiendo rescates relativamente pequeños. Las cifras de media rondan pocos cientos de dólares por cada víctima.
Precisamente, el reducido número de víctimas del ransomware SamSam lo ha hecho pasar desapercibido, impidiendo que se conozcan los detalles sobre cómo funciona y cómo se desarrollan los ataques. Sin embargo, Sophos ha iniciado una investigación que pone al descubierto su potencial, el gran número de víctimas y el aumento en el importe de demanda del rescate, que actualmente suma los casi 6 millones de dólares, alrededor de seis veces más que lo que se desprendía del estudio más reciente.
¿Cómo se desarrollan este tipo de ataques?
En su análisis, Sophos ha descubierto que SamSam escanea las redes de las víctimas para definir los dispositivos a cifrar. SamSam obtiene acceso a las redes de las víctimas a través de RDP (Protocolo de escritorio remoto) mediante el uso de software como NLBrute para adivinar las contraseñas débiles. Estos ataques se producen teniendo en cuenta la zona horaria de la víctima, de tal manera que se producen durante la noche mientras las víctimas duermen.
A diferencia de otros conocidos ataques de ransomware, SamSam no es un gusano o virus, por lo que no se puede propagar por sí mismo. En cambio, depende del factor humano para propagarlo: detrás hay una persona que puede adaptar sus tácticas de acuerdo con el entorno y las defensas mientras vigilan al objetivo. SamSam se despliega en los ordenadores de la red de la víctima con las mismas herramientas con las que se despliegan las aplicaciones de software legítimas.
Habiendo obtenido acceso a una red, el operador de SamSam usa una variedad de herramientas para escalar sus privilegios al nivel de administrador. Luego escanean la red en busca de objetivos valiosos e implementan y ejecutan el malware como lo haría cualquier administrador de sistemas, utilizando PsExec o PaExec.
Una vez que se ha extendido por todas partes, “las múltiples copias del ransomware se activan centralmente en cuestión de segundos”, apuntan desde Sophos. En cada dispositivo infectado, los archivos se cifran de una manera calculada para causar el mayor daño en el menor tiempo posible. Cuando los ordenadores ya están infectados, el atacante espera para ver si la víctima hace contacto a través de un sitio de pago en la Dark Web al que se hace referencia en la nota de rescate.
Las demandas de rescate han aumentado con el tiempo y actualmente rondan los $ 60.000, mucho más que las sumas de tres cifras típicas de los ataques ransomware no dirigidos.
Consejos para evitar ser víctimas de SamSam
“Para restablecerse rápidamente de un ataque de SamSam, las empresas necesitan más que un plan para recuperar los datos: necesitan un plan integral para la reconstrucción de dispositivos” aseguran los expertos de Sophos tras haber realizado el análisi.
La mejor defensa contra SamSam es tener los conceptos básicos mediante la adopción de un enfoque de seguridad por capas y en profundidad. Mantener los parches actualizados y tener contraseñas robustas proporcionará una buena barrera para los ataques de SamSam. Además, desde Sophos apuntan otros simples pasos con los que la protección será mayor:
- Restrinja el acceso de RDP al personal que se conecta a través de una VPN.
- Use autenticación de múltiples factores para acceso VPN y sistemas internos sensibles.
- Completar escaneos de vulnerabilidades y pruebas de penetración regulares.
- Mantenga copias de seguridad fuera del ordenador y fuera de la red.
La entrada SamSam: así trabaja el ransomware que ha recaudado casi 6 millones de dólares en dos años aparece primero en Globb Security.
Powered by WPeMatico
