SamSam: el ransomware que ha recaudado casi 6 millones de dólares en dos años

2 agosto, 2018
29 Compartido 1,409 Visualizaciones

Los ciberataques están evolucionando hasta llegar a alcanzar un alto nivel de sofisticación y eficacia.

Los ciberdelincuentes están apostando por los ataques dirigidos a cambio de tener una mayor recaudación a la hora de solicitar los rescates a las víctimas, así lo ha podido comprobar SophosLabs, el equipo de investigación de la empresa de ciberseguridad Sophos, en un estudio realizado siguiendo el rastro del dinero recaudado por el famoso ransomware SamSam.

Esta investigación ha permitido a SophosLabs identificar un mayor número de afectados y conocer nuevas técnicas de ciberdelincuencia. De acuerdo con las pesquisas, el ransomware SamSam, que apareció por primera vez en diciembre de 2015, usa una técnica de ataque dirigido controlada por un equipo cualificado que irrumpe en la red de la víctima, la vigila y luego ejecuta el malware manualmente, de tal manera que se asegura causar el máximo daño a cambio de obtener un rescate cuantioso, que se calcula en decenas de miles de dólares.

Esta nueva forma de ataque se diferencia del ransomware tradicional que se propaga en grandes y ruidosas campañas de spam enviadas a miles, o incluso a cientos de miles, de personas. Estas técnicas simples tienen como objetivo recaudar grandes cantidades de dinero, pero pidiendo rescates relativamente pequeños. Las cifras de media rondan pocos cientos de dólares por cada víctima.

Precisamente, el reducido número de víctimas del ransomware SamSam lo ha hecho pasar desapercibido, impidiendo que se conozcan los detalles sobre cómo funciona y cómo se desarrollan los ataques. Sin embargo, Sophos ha iniciado una exhaustiva investigación que pone al descubierto el gran número de víctimas, así como el aumento en el importe de demanda del rescate, que actualmente suma los casi 6 millones de dólares, alrededor de seis veces más que lo que se desprendía del estudio más reciente.

Para realizar esta investigación, Sophos ha trabajado con la empresa de monitorización de criptomonedas Neutrino, que ha facilitado el seguimiento del dinero e identificación de muchos pagos de rescate y víctimas. El hecho de poder encontrar a un mayor número de víctimas ha permitido a Sophos saber que el sector privado realmente ha soportado la peor parte de SamSam.

Cómo se desarrollan los ataques

En el análisis, Sophos ha descubierto que SamSam escanea las redes de las víctimas para definir los dispositivos a cifrar. SamSam obtiene acceso a las redes de las víctimas a través de RDP (Protocolo de escritorio remoto) mediante el uso de software como NLBrute para adivinar las contraseñas débiles. Estos ataques se producen teniendo en cuenta la zona horaria de la víctima, de tal manera que se producen durante la noche mientras las víctimas duermen.

A diferencia de otros conocidos ataques de ransomware como WannaCry o NotPetya, SamSam no es un gusano o virus, por lo que no se puede propagar por sí mismo. En cambio, depende del factor humano para propagarlo: detrás hay una persona que puede adaptar sus tácticas de acuerdo con el entorno y las defensas mientras vigilan al objetivo. SamSam se despliega en los ordenadores de la red de la víctima con las mismas herramientas con las que se despliegan las aplicaciones de software legítimas.

Habiendo obtenido acceso a una red, el operador de SamSam usa una variedad de herramientas para escalar sus privilegios al nivel de administrador. Luego escanean la red en busca de objetivos valiosos e implementan y ejecutan el malware como lo haría cualquier administrador de sistemas, utilizando PsExec o PaExec.

Una vez que se ha extendido por todas partes, las múltiples copias del ransomware se activan centralmente en cuestión de segundos. En cada dispositivo infectado, los archivos se cifran de una manera calculada para causar el mayor daño en el menor tiempo posible. Cuando los ordenadores ya están infectados, el atacante espera para ver si la víctima hace contacto a través de un sitio de pago en la Dark Web al que se hace referencia en la nota de rescate. Las demandas de rescate han aumentado con el tiempo y actualmente rondan los 60.000 dólares, mucho más que las sumas de tres cifras típicas de los ataques ransomware no dirigidos.

Consejos para evitar ser víctimas de SamSam

Para restablecerse rápidamente de un ataque de SamSam, las empresas necesitan más que un plan para recuperar los datos: necesitan un plan integral para la reconstrucción de dispositivos.

La mejor defensa contra SamSam es tener los conceptos básicos mediante la adopción de un enfoque de seguridad por capas y en profundidad. Mantener los parches actualizados y tener contraseñas robustas proporcionará una buena barrera para los ataques de SamSam. Esa barrera se puede fortalecer significativamente con estos simples pasos:

  1. Restrinja el acceso de RDP al personal que se conecta a través de una VPN.
  2. Use autenticación de múltiples factores para acceso VPN y sistemas internos sensibles.
  3. Completar escaneos de vulnerabilidades y pruebas de penetración regulares.
  4. Mantenga copias de seguridad fuera del ordenador y fuera de la red.

Puede leer más sobre la historia de SamSam, cómo funciona y cómo protegerse contra ella en el extenso y nuevo trabajo de investigación de Sophos, SamSam: El Ransomware de casi 6 millones de dólares.

Te podría interesar

Entrevista a José María Ochoa, Cibersecurity Manager de Alhambra-Eidos
Actualidad
1,244 compartido1,020 visualizaciones
Actualidad
1,244 compartido1,020 visualizaciones

Entrevista a José María Ochoa, Cibersecurity Manager de Alhambra-Eidos

Pedro Pablo Merino - 13 junio, 2018

OneseQ es el área de ciberseguridad de Alhambra-Eidos, compañía especializada en servicios IT, que concentra las competencias y las unidades…

Michael Moore lanza TrumpiLeaks
Actualidad
375 visualizaciones
Actualidad
375 visualizaciones

Michael Moore lanza TrumpiLeaks

Redacción - 8 junio, 2017

El cineasta Michael Moore lanza el site TrumpiLeaks, una especie de wikileaks con información sobre Trump y su equipo de…

Una transferencia internacional segura en 8 segundos, gracias al Blockchain
Actualidad
67 compartido1,906 visualizaciones
Actualidad
67 compartido1,906 visualizaciones

Una transferencia internacional segura en 8 segundos, gracias al Blockchain

José Luis - 22 marzo, 2018

El sistema Blockchain fue protagonista el miércoles en el evento Big Data to Talent que la Madrid School of Marketing…

Deje un comentario

Su email no será publicado