Casi 6 millones de dólares han sido recaudados por el Ransomware SamSam en dos años
Según un estudio realizado por el equipo de investigación de la empresa de ciberseguridad SphosLabs, se ha podido identificar nuevas técnicas de ciberdelincuencia, siguiendo el rastro del dinero recaudado por los famosos ransomware SamSam, que aparecieron por primera vez en diciembre del 2015, de acuerdo con las pesquisas usa una técnica de ataque dirigido controlada por un equipo cualificado que irrumpe en la red de la víctima, la vigila y luego ejecuta el malware manualmente, de tal manera que se asegura causar el máximo daño a cambio de obtener un rescate cuantioso, que se calcula en decenas de miles de dólares.
Estas técnicas simples tienen como objetivo recaudar grandes cantidades de dinero, pero pidiendo rescates relativamente pequeños. Las cifras de media rondan pocos cientos de dólares por cada víctima.
Sophos ha iniciado una exhaustiva investigación que pone al descubierto el gran número de víctimas, así como el aumento en el importe de demanda del rescate, que actualmente suma los casi 6 millones de dólares.
A pesar de lo complicado que fue seguirle el rastro al ransomware SamSam, Sophos se aliado con la empresa de monitorización de criptomonedas Neutrino, que ha facilitado el seguimiento del dinero e identificación de muchos pagos de rescate y víctimas; donde los que han soportado la peor parte se ha identificado en el sector privado.
¿Cómo se desarrollan los ataques?
SamSam escanea las redes de las víctimas para definir los dispositivos a cifrar. SamSam obtiene acceso a las redes de las víctimas a través de RDP (Protocolo de escritorio remoto) mediante el uso de software como NLBrute para adivinar las contraseñas débiles. Estos ataques se producen teniendo en cuenta la zona horaria de la víctima, de tal manera que se producen durante la noche mientras las víctimas duermen.
Habiendo obtenido acceso a una red, el operador de SamSam usa una variedad de herramientas para escalar sus privilegios al nivel de administrador. Luego escanean la red en busca de objetivos valiosos e implementan y ejecutan el malware como lo haría cualquier administrador de sistemas, utilizando PsExec o PaExec.
Una vez que se ha extendido por todas partes, las múltiples copias del ransomware se activan centralmente en cuestión de segundos.
En cada dispositivo infectado, los archivos se cifran de una manera calculada para causar el mayor daño en el menor tiempo posible.
Cuando los ordenadores ya están infectados, el atacante espera para ver si la víctima hace contacto a través de un sitio de pago en la Dark Web al que se hace referencia en la nota de rescate. Las demandas de rescate han aumentado con el tiempo y actualmente rondan los $ 60.000, mucho más que las sumas de tres cifras típicas de los ataques ransomware no dirigidos.
Consejos para evitar ser víctimas de SamSam
Para restablecerse rápidamente de un ataque de SamSam, las empresas necesitan más que un plan para recuperar los datos: necesitan un plan integral para la reconstrucción de dispositivos.
La mejor defensa contra SamSam es tener los conceptos básicos mediante la adopción de un enfoque de seguridad por capas y en profundidad. Mantener los parches actualizados y tener contraseñas robustas proporcionará una buena barrera para los ataques de SamSam. Esa barrera se puede fortalecer significativamente con estos simples pasos:
- Restrinja el acceso de RDP al personal que se conecta a través de una VPN.
- Use autenticación de múltiples factores para acceso VPN y sistemas internos sensibles.
- Completar escaneos de vulnerabilidades y pruebas de penetración regulares.
- Mantenga copias de seguridad fuera del ordenador y fuera de la red.
Fuente: Revista Bite TI
Añadir nuevo comentario