Home > Notícias

Tudo sobre o SamSam, novo ransomware que rendeu quase US$ 6 milhões

Sophos identificou ameaça e alerta para particularidades dele

Redação

02/08/2018 às 9h54

Foto:

A empresa de cibersegurança Sophos identificou uma nova campanha de ransomware, malware sequestrador, que surgiu no final de 2015 e está crescendo rapidamente. Trata-se do SamSam, que, de acordo com a fornecedora, tem atual totalmente manual e invade sistemas em busca de recompensa financeira. Esse malware exclui todos os rastros imediatamente para impedir uma futura investigação.

A análise da companhia descobriu que o SamSam é uma ferramenta de criptografia particularmente completa, não apenas tornando os arquivos de dados de trabalho inutilizáveis, mas também qualquer programa que não seja essencial para a operação de um computador com Windows, quem não recebem um backup com frequência.

A recuperação do sistema pode exigir a reinstalação de softwares, bem como a restauração de backups. O criminoso é muito eficiente em cobrir os rastros e parece estar ficando cada vez mais “paranoico” (ou experiente) com o passar do tempo, adicionando gradualmente mais recursos de segurança nas ferramentas e sites.

A empresa preparou uma lista com tudo o que você precisa saber sobre essa nova ameaça. Confira abaixo.

Histórico

O ransomware SamSam apareceu pela primeira vez em dezembro de 2015. Na época, algumas vítimas relataram um evento de ransomware generalizado que impactou significativamente as operações de algumas grandes organizações, incluindo hospitais, escolas e cidades.

Os detalhes do ataque levaram algum tempo para serem obtidos porque o(s) invasor(es) responsável(s) tomou muito cuidado para ofuscar os métodos e excluir qualquer evidência que pudesse ser reveladora.

Muitas vítimas descobriram que não conseguiam se recuperar rapidamente ou suficientemente para garantir a continuidade dos negócios por conta própria, e pagaram o resgate com relutância.

Malware lucrativo

Acompanhando endereços de Bitcoin fornecidos em notas de resgate e arquivos de amostra, e trabalhando com a empresa Neutrino, a Sophos calculou que o SamSam rendeu ao(s) criador(es) mais de US$ 5,9 milhões desde o final de 2015. Neste ano, a empresa estima que o agressor ganhou, em média, pouco menos de US$ 300 mil. O(s) criminoso(s) do SamSam recebeu resgates de até US$ 64 mil, com base na análise de pagamentos de resgate a carteiras de bitcoin rastreadas.

A Sophos observou que 74% das vítimas conhecidas estão localizadas nos Estados Unidos. Outras regiões que já sofreram ataques incluem Canadá, Reino Unido e Oriente Médio;

Por que ele é diferente?

Diferentemente da maioria dos outros ransomwares, o SamSam criptografa não apenas documentos, imagens e outros dados pessoais ou de trabalho, mas também arquivos de configuração e dados necessários para executar aplicativos (por exemplo, o Microsoft Office). Vítimas cuja estratégia de backup protege apenas os documentos e arquivos do usuário não poderão recuperar uma máquina sem primeiro recriar o sistema.

Cada ataque subsequente mostra uma progressão na sofisticação e uma crescente conscientização de como escapar da segurança operacional. O custo que as vítimas são cobradas em resgate aumentou dramaticamente, e o ritmo dos ataques não mostra sinais de lentidão.

Perfil das vítimas

Várias organizações de médio a grande portes do setor público nas áreas de saúde, educação e governo publicaram relatórios de violação relacionadas ao SamSam. Cem por cento das vítimas conhecidas de organizações governamentais tornaram o ataque público.,79% das organizações da indústria da saúde falaram em público, assim como 38% das vítimas de instituições de ensino.

A Sophos identificou que as organizações que divulgaram publicamente o ataque são apenas 37% das vítimas do SamSam. Possivelmente existem centenas de outras vítimas que não fizeram declarações públicas, mas a empresa não sabe quem são elas.

Até o momento, nenhuma outra indústria ou setor privado fez qualquer tipo de declaração pública confirmando um ataque SamSam (que conseguimos localizar). Mais da metade do número total de vítimas permanecem em silêncio sobre os ataques, o que é incomum.

Como funciona?

A Sophos suspeita fortemente que muitos ataques começam com o comprometimento de um desktop remoto de uma máquina dentro de uma rede. O criminoso também implanta ameaças em máquinas vulneráveis para conseguir executar o código de acesso remoto.

O criminoso é bastante cauteloso ao escolher o alvo, e o preparo do ataque é meticuloso. O criminoso mantém presença na máquina comprometida enquanto escaneia a rede interna. O criminoso utiliza ferramentas open source e comerciais convencionais, normalmente utilizadas para administração de sistemas ou testes de penetração, para realizar o roubo de senhas, mover instaladores de ransomwares para máquinas no domínio administrador e colocar os ransomwares em estações de trabalho conectadas;.

Diferente de muitos ataques de ransomwares, esses não se originam de um spam malicioso ou por um ataque de download. Cada ataque é um assalto manual de uma rede alvo.

O criminoso resiste ativamente às tentativas de bloqueio ao instalador do SamSam e rotineiramente emprega técnicas que burlam alguns pontos de proteção em sistemas alvo, tornando-os vulneráveis aos ransomwares;Uma vez que o malware consegue escanear a rede interna e fazer um compilado de vítimas em potencial, os criminosos que utilizam o SamSam esperam até o meio da noite, no fuso horário da vítima, para executar o ataque: um comando para distribuir o malware é acionado e começa a criptografar as máquinas afetadas. Tudo é cronometrado para o momento mais oportuno, quando a maioria dos usuários e administradores estão dormindo, o que aumenta consideravelmente as chances de um ataque de sucesso.

Como se proteger?

A Sophos informa que não existe uma solução milagrosa para segurança; um modelo de segurança ativo e em camadas é a melhor prática, mas se a empresa estudar a metodologia, existem vários pontos nos quais medidas básicas de segurança podem parar o invasor SamSam.

Assim, a Sophos recomenda implementar quatro principais medidas de segurança no momento:

1. Acesso restrito à porta 3389 (RDP), permitindo que apenas os funcionários que usam uma VPN possam acessar remotamente quaisquer sistemas. Utilize autenticação de múltiplos fatores para acesso à VPN;

2. Verificações de vulnerabilidades completas e regulares e testes de penetração na rede. Se você não aplicou os recentes relatórios de teste de intrusão, faça agora;

3. Autenticação multifator para sistemas internos sensíveis, mesmo para funcionários na LAN ou VPN;

4. Crie backups off-line e off-site e desenvolva um plano de recuperação em caso de desastres que cubra a restauração de dados e sistemas inteiros.

Tags
Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail