SamSam: el ransomware que ha recaudado casi 6 millones de dólares en dos años

2 agosto, 2018
29 Compartido 1,466 Visualizaciones

Los ciberataques están evolucionando hasta llegar a alcanzar un alto nivel de sofisticación y eficacia.

Los ciberdelincuentes están apostando por los ataques dirigidos a cambio de tener una mayor recaudación a la hora de solicitar los rescates a las víctimas, así lo ha podido comprobar SophosLabs, el equipo de investigación de la empresa de ciberseguridad Sophos, en un estudio realizado siguiendo el rastro del dinero recaudado por el famoso ransomware SamSam.

Esta investigación ha permitido a SophosLabs identificar un mayor número de afectados y conocer nuevas técnicas de ciberdelincuencia. De acuerdo con las pesquisas, el ransomware SamSam, que apareció por primera vez en diciembre de 2015, usa una técnica de ataque dirigido controlada por un equipo cualificado que irrumpe en la red de la víctima, la vigila y luego ejecuta el malware manualmente, de tal manera que se asegura causar el máximo daño a cambio de obtener un rescate cuantioso, que se calcula en decenas de miles de dólares.

Esta nueva forma de ataque se diferencia del ransomware tradicional que se propaga en grandes y ruidosas campañas de spam enviadas a miles, o incluso a cientos de miles, de personas. Estas técnicas simples tienen como objetivo recaudar grandes cantidades de dinero, pero pidiendo rescates relativamente pequeños. Las cifras de media rondan pocos cientos de dólares por cada víctima.

Precisamente, el reducido número de víctimas del ransomware SamSam lo ha hecho pasar desapercibido, impidiendo que se conozcan los detalles sobre cómo funciona y cómo se desarrollan los ataques. Sin embargo, Sophos ha iniciado una exhaustiva investigación que pone al descubierto el gran número de víctimas, así como el aumento en el importe de demanda del rescate, que actualmente suma los casi 6 millones de dólares, alrededor de seis veces más que lo que se desprendía del estudio más reciente.

Para realizar esta investigación, Sophos ha trabajado con la empresa de monitorización de criptomonedas Neutrino, que ha facilitado el seguimiento del dinero e identificación de muchos pagos de rescate y víctimas. El hecho de poder encontrar a un mayor número de víctimas ha permitido a Sophos saber que el sector privado realmente ha soportado la peor parte de SamSam.

Cómo se desarrollan los ataques

En el análisis, Sophos ha descubierto que SamSam escanea las redes de las víctimas para definir los dispositivos a cifrar. SamSam obtiene acceso a las redes de las víctimas a través de RDP (Protocolo de escritorio remoto) mediante el uso de software como NLBrute para adivinar las contraseñas débiles. Estos ataques se producen teniendo en cuenta la zona horaria de la víctima, de tal manera que se producen durante la noche mientras las víctimas duermen.

A diferencia de otros conocidos ataques de ransomware como WannaCry o NotPetya, SamSam no es un gusano o virus, por lo que no se puede propagar por sí mismo. En cambio, depende del factor humano para propagarlo: detrás hay una persona que puede adaptar sus tácticas de acuerdo con el entorno y las defensas mientras vigilan al objetivo. SamSam se despliega en los ordenadores de la red de la víctima con las mismas herramientas con las que se despliegan las aplicaciones de software legítimas.

Habiendo obtenido acceso a una red, el operador de SamSam usa una variedad de herramientas para escalar sus privilegios al nivel de administrador. Luego escanean la red en busca de objetivos valiosos e implementan y ejecutan el malware como lo haría cualquier administrador de sistemas, utilizando PsExec o PaExec.

Una vez que se ha extendido por todas partes, las múltiples copias del ransomware se activan centralmente en cuestión de segundos. En cada dispositivo infectado, los archivos se cifran de una manera calculada para causar el mayor daño en el menor tiempo posible. Cuando los ordenadores ya están infectados, el atacante espera para ver si la víctima hace contacto a través de un sitio de pago en la Dark Web al que se hace referencia en la nota de rescate. Las demandas de rescate han aumentado con el tiempo y actualmente rondan los 60.000 dólares, mucho más que las sumas de tres cifras típicas de los ataques ransomware no dirigidos.

Consejos para evitar ser víctimas de SamSam

Para restablecerse rápidamente de un ataque de SamSam, las empresas necesitan más que un plan para recuperar los datos: necesitan un plan integral para la reconstrucción de dispositivos.

La mejor defensa contra SamSam es tener los conceptos básicos mediante la adopción de un enfoque de seguridad por capas y en profundidad. Mantener los parches actualizados y tener contraseñas robustas proporcionará una buena barrera para los ataques de SamSam. Esa barrera se puede fortalecer significativamente con estos simples pasos:

  1. Restrinja el acceso de RDP al personal que se conecta a través de una VPN.
  2. Use autenticación de múltiples factores para acceso VPN y sistemas internos sensibles.
  3. Completar escaneos de vulnerabilidades y pruebas de penetración regulares.
  4. Mantenga copias de seguridad fuera del ordenador y fuera de la red.

Puede leer más sobre la historia de SamSam, cómo funciona y cómo protegerse contra ella en el extenso y nuevo trabajo de investigación de Sophos, SamSam: El Ransomware de casi 6 millones de dólares.

Te podría interesar

Cyberpedia: Concienciación en Seguridad Digital
Actualidad
23 compartido2,652 visualizaciones
Actualidad
23 compartido2,652 visualizaciones

Cyberpedia: Concienciación en Seguridad Digital

José Luis - 25 septiembre, 2018

El CEO de TechClass.Academy Antonio Herrera nos aporta un nuevo término para nuestra Cyberpedia, Concienciación en Seguridad Digital. Es el…

Webstresser, el servicio de DDos de alquiler, ha sido confiscado
Actualidad
33 compartido1,900 visualizaciones
Actualidad
33 compartido1,900 visualizaciones

Webstresser, el servicio de DDos de alquiler, ha sido confiscado

José Luis - 18 mayo, 2018

La policía derriba el servicio de DDoS de alquiler más grande del mundo. Las autoridades británicas anunciaron a finales del…

8 predicciones que marcarán Blockchain en 2019
Actualidad
23 compartido1,128 visualizaciones
Actualidad
23 compartido1,128 visualizaciones

8 predicciones que marcarán Blockchain en 2019

Vicente Ramírez - 30 enero, 2019

Fujitsu ha presentado sus predicciones para el desarrollo de blockchain para este año 2019. La multinacional señala 8 tendencias fundamentales…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.