Ciudad de México a 28 de Noviembre de 2018. El FBI declaró haber identificado a dos de los autores de los ataques de ransomware “SamSam”: Mohammad Mehdi Shah Mansour (27 años) y Faramarz Shahi Savandi (34 años), ambos supuestamente residentes en Teherán, la capital de Irán.

 

El Departamento de Justicia de los Estados Unidos publicó una acusación este miércoles, en contra del dúo iraní con una serie de delitos criminales, entre ellos:

 

•     Conspiración para cometer fraude y actividad relacionada con las computadoras.

•     Conspiración para cometer fraude en red.

•     Daño intencional a un ordenador protegido.

•     La transmisión de una demanda en relación con el daño de un ordenador protegido.

 

De acuerdo con Sophos, firma especializada en ciberseguridad, los autores de SamSam recolectaron un estimado de $6.5 millones de dólares en casi tres años. En estos ataques, los delincuentes cibernéticos apuntan a los accesos débiles y contraseñas de protocolo de escritorio remoto (RDP o Remote Desktop Protocol). Una vez dentro, roban las credenciales de los administradores de dominio manipulando los controles internos de los servidores, ayudándoles a deshabilitar los respaldos de seguridad y así poder instalar el ransomware.

 

“SamSam se ha convertido en un modelo clave para otros delincuentes quienes están creando una nueva generación de ataques, ya que están utilizando el mismo libro de jugadas contra otras organizaciones grandes y medianas, es por eso que en 2019 esperamos ataques de imitación”, señaló Chet Wisniewski, científico de investigación.

 

¿Qué hacer?

Gracias a una mejor comprensión de la forma en que SamSam se dirige a los archivos en el sistema operativo de la víctima, Sophos indica que la copia de seguridad de sus datos comerciales no es suficiente. Para recuperarse rápidamente de un ataque de SamSam, las organizaciones necesitan más que un plan para restaurar datos: necesitan un plan integral para la reconstrucción de máquinas.

Para evitar se víctimade SamSam o cualquier otra forma de malware, la mejor defensa es adoptar seguridad en capas y profundidad.

Actualizar los parches y mantener una buena disciplina de contraseñas proporciona una barrera formidable para los ataques de SamSam que se puede fortalecer significativamente con estos simples pasos:

  1. Restringir el acceso de RDP al personal que se conecta a través de una VPN (red privada virtual).

  2. Usar autenticación de múltiples factores para acceso VPN y sistemas internos sensibles.

  3. Completar escaneos de vulnerabilidades y pruebas de penetración regulares.

  4. Mantener copias de seguridad fuera de sitio y fuera de línea.