SamSam è un ransomare che dal 2015 colpisce utenti in tutto il mondo con richieste di riscatto, arrivando a raccogliere quasi 6 milioni di dollari.
Questo malware, viene utilizzato in modo accurato e mirato dai cybercriminali, rendendo difficile l’identificazione del suo funzionamento.
Il SophosLab, dopo centinaia di ore di lavoro e ricerca, ha scoperto una serie di informazioni utili e spiega come difendersi da questo cyber attacco.
Generalmente SamSam non colpisce il comune utente, anche se si registra un attacco al giorno. I settori su cui sembra si focalizzi siano sanitario, amministrativo e dell’istruzione. Non ci sono due attacchi uguali anche se tra loro ci sono elementi comuni.
Gli esperti della sicurezza di Sophos hanno scoperto che questo tipo di ransomware si differenzia dagli altri, in quanto utilizzano attacchi stealth mirati, mentre gli altri utilizzano campagne spam di grandi dimensioni. In un attacco mirato i criminali selezionano un’organizzazione vulnerabile e adattano il loro approccio per causare il massimo del danno e dei disservizi. Lavorando in questo modo, i criminali sono in grado di minimizzare la loro esposizione mentre estorcono un alto riscatto.
A differenza di WannaCry che sfruttava le vulnerabilità del software per copiarsi su nuove macchine, SamSam è attivo sui computer del network della vittima, utilizzando gli stessi strumenti e applicazioni software legittime.
Come funziona Samsam?
SamSam viene utilizzato entrando direttamente nella rete della vittima: gli hacker entrati analizzano e attivano manualmente il malware, effettuando veri e propri attacchi mirati, creando il massimo danno possibile e chiedendo riscatti consistenti.
L’hacker che utilizza SamSam ha accesso alle reti delle vittime tramite RDP (Remote Desktop Protocol) utilizzando software come NLBrute per indovinare le password deboli.
Sophos ha identificato che l’orario dell’attacco varia a seconda del fuso orario della vittima e, nel caso ad esempio della costa occidentale degli Stati Uniti o del Regno Unito, i cybercriminali si mettono in azione di notte.
Dopo aver ottenuto l’accesso alla rete, l’hacker utilizza vari strumenti per arrivare ad essere Domain Admin, eseguendo così la scansione della rete, alla ricerca di dati preziosi ed avviando poi il malware, utilizzando utility come PsExec o PaExec.
Dopo che le varie copie vengono attivate centralmente, i computer infettati vengono crittografati nel giro di pochi secondi, causando il maggior danno possibile nel minor tempo.
Come difendersi da SamSam?
Di seguito i suggerimenti di Sophos
L’approccio dei cybercriminali varia da un obiettivo all’altro, ma ci sono thread comuni a cui vale la pena prestare particolare attenzione.
Gli attacchi di SamSam iniziano spesso con gli aggressori che sfruttano password deboli su account RDP, quindi:
- Se non vi serve l’RDP, spegnetelo.
- Assicuratevi che gli utenti abbiano password efficaci
- Abilitate l’autenticazione a 2 fattori (2FA) quando potete.
- Accettate connessioni RDP solo da computer autorizzati
- Configurate una policy di blocco per limitare il numero di tentativi delle password
Se un utente malintenzionato accede alla rete, arrestare l’attacco è raramente una semplice questione di rilevamento di un singolo file, ovviamente dannoso. Molti degli strumenti utilizzati negli attacchi SamSam sono utilizzati proprio perché sono pezzi legittimi di software già presenti nella rete, come PsExec, Powershell, WScript o CScript.
È possibile utilizzare Application Control di Sophos per configurare l’accesso dell’organizzazione alle applicazioni legittime, assicurando, ad esempio, che gli amministratori che hanno bisogno di PowerShell abbiano accesso ad esso e gli utenti normali no.
Ogni livello di sicurezza che possedete è progettato per un diverso tipo di minaccia e una strategia di difesa in profondità che impiega più livelli sovrapposti di protezione è, come sempre, l’approccio migliore.
Sophos Endpoint e Server blocca le versioni correnti di SamSam come Troj / Samas-F, Troj / RansRun-A e Mal / Kryptik-BV.
I clienti con Intercept X o Exploit Prevention sono protetti contro SamSam dalla nostra soluzione anti-ransomware CryptoGuard.
Per i clienti con licenze Central Server Advanced, Server Lockdown (allowlisting) può essere implementato per rafforzare i server contro modifiche non autorizzate.
I clienti che utilizzano Sophos Central in combinazione con XG Firewall, possono utilizzare la funzione Security Heartbeat ™, che consente agli endpoint di comunicare con il firewall, per creare policy che isolano automaticamente una macchina se viene riportato un rilevamento, contenendo così rapidamente qualsiasi minaccia.
Scopri i prodotti Sophos