SamSam Ransomware

El programari maliciós continua sent una de les amenaces més urgents tant per a individus com per a organitzacions. Els ciberdelinqüents innoven contínuament, desenvolupant noves estratègies d'atac dissenyades per explotar vulnerabilitats i obtenir accés il·legal a dades sensibles. Entre aquestes amenaces, el ransomware SamSam destaca com una soca especialment perillosa, principalment perquè es desvia dels mètodes d'infecció habituals basats en la suplantació d'identitat (phishing). Entendre com funciona i implementar mesures de seguretat robustes és essencial per mantenir els vostres sistemes segurs.

Què és el ransomware SamSam?

Detectat per primera vegada entre finals del 2015 i principis del 2016, el ransomware SamSam, també conegut com a Samas o SamsamCrypt, va guanyar ràpidament notorietat pels seus atacs dirigits a sectors crítics, com ara la salut, el transport, l'educació i els governs locals. A diferència de les campanyes típiques de ransomware que es basen en tàctiques d'enginyeria social, SamSam utilitza l'explotació directa de la xarxa.

Tot i que inicialment es va creure que s'havia originat a l'Europa de l'Est, les investigacions posteriors van vincular el programari maliciós amb ciberdelinqüents iranians, i el 2018 van ser acusats dos individus. El seu impacte ha estat global, amb atacs documentats als Estats Units, el Regne Unit, França, Portugal, Austràlia, Canadà i l'Orient Mitjà.

Campanyes d'atac notori

Departament de Transport de Colorado
El febrer de 2018, el Departament de Transport de Colorado va patir una interrupció important quan SamSam va xifrar els seus sistemes i va exigir el pagament en Bitcoin. En negar-se a complir, el CDOT va gastar uns 1,7 milions de dòlars en esforços de recuperació.

Govern Local d'Atlanta
El març de 2018, la ciutat d'Atlanta va quedar paralitzada per un atac SamSam dut a terme mitjançant una entrada de força bruta al seu Protocol d'Escriptori Remot (RDP). Serveis que van afectar, des dels serveis públics fins al sistema judicial. Els atacants van exigir 51.000 dòlars en Bitcoin, però la ciutat s'hi va negar i finalment va gastar 2,7 milions de dòlars en reparació.

Èxits del sector sanitari
SamSam va afectar especialment la indústria sanitària, amb víctimes notables com Allied Physicians of Michiana, Hancock Health i Allscripts. Només el 2018, l'atenció sanitària va representar una quarta part de tots els atacs SamSam coneguts.

Com funciona el ransomware SamSam?

A diferència del ransomware que es propaga a través de correus electrònics de phishing o fitxers adjunts maliciosos, SamSam aprofita els sistemes vulnerables i les credencials robades. Segons l'Agència de Seguretat de Ciberseguretat i Infraestructures (CISA), els atacants exploten les debilitats dels servidors de Windows i obtenen accés remot a través de:

• Connexions RDP exposades o sense pegats
• Credencials d'inici de sessió comprades o forçades

Un cop a dins, els atacants escalen privilegis, implementen el programari maliciós manualment i xifren els fitxers crítics. Aquest enfocament pràctic permet una selecció precisa i danys generalitzats dins de les xarxes compromeses.

La nota de rescat i les tàctiques de pagament

Després de completar el xifratge, els operadors de SamSam deixen una nota de rescat indicant a les víctimes que es comuniquin a través d'un portal basat en Tor. Es demanen pagaments en Bitcoin i, tot i que algunes víctimes han rebut claus de desxifratge després del pagament, no hi ha cap garantia que els atacants compleixin l'acord.

SamSam encara és una amenaça?

Tot i que els atacs publicitats van disminuir després del 2018 i es van arrestar operadors clau, no hi ha proves que el ransomware s'hagi eradicat. No existeix cap eina oficial de desxifratge, cosa que significa que SamSam encara s'hauria de considerar un risc actiu.

Enforteix la teva defensa: Millors pràctiques de seguretat

La prevenció d'una infecció de SamSam requereix una estratègia de seguretat proactiva centrada en tancar les vulnerabilitats que explota. Aquests són els passos essencials que tota organització hauria d'implementar:

1. Assegurar i auditar l'accés a RDP

• Desactiveu RDP si no és necessari.
• Per als serveis RDP necessaris, apliqueu una autenticació forta i restringiu l'accés a adreces IP de confiança.
• Apliqueu els pegats de seguretat més recents amb promptitud per eliminar les fallades explotables.

2. Aplicar el principi del mínim privilegi

• Limitar els permisos d'usuari només a les funcions essencials.
• Utilitzeu el control d'accés basat en rols per evitar danys generalitzats d'un únic compte compromès.

3. Adoptar polítiques de contrasenya i autenticació fortes

• Una estratègia de contrasenyes robusta hauria d'incloure:
• Una barreja de majúscules i minúscules, números i caràcters especials.
• Canvis regulars de contrasenya i prohibició de reutilització.
• Errors comuns que cal evitar:
• Compartir credencials amb altres persones.
• Desactivació de l'autenticació multifactor (MFA).
• Emmagatzemar contrasenyes en fitxers no segurs.

4. Mantenir còpies de seguretat regulars

• Mantingueu les còpies de seguretat fora de línia o en xarxes segmentades.
• Proveu periòdicament els procediments de restauració per garantir-ne l'eficàcia.

Reflexions finals

El ransomware SamSam serveix com un clar recordatori que els atacs de ransomware no sempre es basen en enganyar els usuaris, sinó que sovint exploten les debilitats tècniques. Les organitzacions que no aconsegueixen assegurar les seves connexions RDP, aplicar mesures d'autenticació fortes o mantenir còpies de seguretat adequades corren el risc de convertir-se en el proper titular. La vigilància, els controls de seguretat per capes i una força laboral formada continuen sent la millor defensa contra les amenaces cibernètiques en evolució.