Sophos, firma especializada en ciberseguridad, publicó una extensa investigación titulada “SamSam: el ransomware de (casi) seis millones de dólares”, donde revela nuevos hallazgos sobre el famoso ransomware SamSam: cómo funciona, quién ha sido el blanco de este tipo de ataque y cómo evoluciona. Sophos afirma que SamSam ha afectado a muchas más víctimas de lo que se pensaba y recaudó casi seis millones de dólares en rescates, alrededor de seis veces más que el estimado más atinado y reciente. 

Un malware muy diferente 

SamSam registró sus primeros ataques en diciembre del 2015. Lo que lo distingue de la mayoría de los ransomware, razón que hace que esta investigación sea tan importante, es la forma en que se usa en los ataques furtivos y dirigidos. 

La mayoría del ransomware se propaga en campañas de spam grandes, ruidosas y sin objetivo, enviadas a miles o cientos de miles de personas. Usan técnicas simples para infectar a las víctimas y tienen como objetivo recaudar dinero a través de muchos rescates de bajo monto, aproximadamente de cientos de dólares cada uno. 

Información de Naked Security, el sitio sobre ciberamenazas de Sophos, revela que SamSam es muy diferente: se usa en ataques dirigidos por un equipo o individuo calificado que irrumpe en la red de la víctima, lo vigila y luego ejecuta el malware manualmente. Los ataques están diseñados para causar el máximo daño y las demandas de rescate se miden en decenas de miles de dólares. 

Aproximadamente un ataque de SamSam se produce al día, las probabilidades de ser víctima son muy bajas, sin embargo Sophos advierte que esto no hace que el riesgo sea nulo y que los efectos sean devastadores. 

Nuevos hallazgos 

1.- Cómo funciona.

El documento de investigación de Sophos revela nuevos detalles sobre cómo SamSam escanea las redes de las víctimas y construye la lista de máquinas que cifrará. Sin embargo, lo más llamativo es conocer cómo se propaga: a diferencia de WannaCry, que aprovechó una vulnerabilidad de software para copiarse en máquinas nuevas, SamSam se instala en las computadoras de la red de la víctima de la misma manera y con las mismas herramientas que las aplicaciones de software legítimas. 

Los criminales esperan el momento oportuno: lanzan los comandos de encriptación durante la noche o en las primeras horas de la mañana de la hora local de la víctima, cuando la mayoría de los usuarios y administradores están durmiendo. 

A diferencia de la mayoría de los otros ransomware, SamSam encripta no solo los archivos de documentos, imágenes y otros datos personales o de trabajo, sino también los archivos de configuración y datos necesarios para ejecutar aplicaciones (por ejemplo, Microsoft Office). 
Una vez que se ha lanzado el ataque, el delincuente espera para ver si la víctima hace contacto a través de un sitio de pago en la dark web al que se hace referencia en la nota de rescate. Las demandas de rescate han aumentado con el tiempo y actualmente rondan los 50 mil dólares, cuando por lo general los rescates no dirigidos son de tres cifras.

2.- Quiénes son las víctimas.

Se sabía que las organizaciones del sector público habían sido objeto de SamSam, pero trabajando con la organización de monitoreo de criptomonedas Neutrino, Sophos siguió el dinero e identificó muchos pagos de rescate y víctimas que antes eran desconocidas. La investigación descubrió que el sector público solo componía la mitad del total de víctimas identificadas, el resto corresponde al sector privado, que permanecía silencioso sobre los ataques y que pertenece a un amplio rango de industrias que abarcan tecnología, transporte, medios, manufactura, logística, servicios legales y financieros, energía, construcción, entre otros.

La mayoría de las víctimas, 74 por ciento, se han reportado en Estados Unidos. Hasta el momento también se conocen casos en Canadá, Reino Unido y Medio Oriente, pero no se descarta que el malware se extienda a los países de América Latina. 
Según la investigación de Sophos, el requisito mínimo para ser una víctima parece más relacionado con el tamaño de la empresa, la capacidad de pago y si están exponiendo sus puertos RDP (protocolo para escritorio remoto) a todo el mundo y menos relacionado con el país donde se encuentran. 

3.- ¿Qué hacer?

A partir de la nueva investigación, Sophos desarrolló una guía de protección y recuperación de desastres. Gracias a una mejor comprensión de la forma en que SamSam se dirige a los archivos en el sistema operativo de la víctima, Sophos indica que la copia de seguridad de sus datos comerciales no es suficiente. Para recuperarse rápidamente de un ataque de SamSam, las organizaciones necesitan más que un plan para restaurar datos: necesitan un plan integral para la reconstrucción de máquinas.

Para evitar se víctima de SamSam o cualquier otra forma de malware, la mejor defensa es adoptar seguridad en capas y profundidad.

Actualizar los parches y mantener una buena disciplina de contraseñas proporciona una barrera formidable para los ataques de SamSam que se puede fortalecer significativamente con estos simples pasos: 

  1. Restringir el acceso de RDP al personal que se conecta a través de una VPN (red privada virtual). 
  2. Usar autenticación de múltiples factores para acceso VPN y sistemas internos sensibles. 
  3. Completar escaneos de vulnerabilidades y pruebas de penetración regulares. 
  4. Mantener copias de seguridad fuera de sitio y fuera de línea. 

La investigación sobre SamSam, cómo funciona y cómo protegerse puede consultarse en: SamSam: The (Almost) Six Million Dollar Ransomware