Ransomware SamSam

Il malware rimane una delle minacce più urgenti per individui e organizzazioni. I criminali informatici innovano costantemente, sviluppando nuove strategie di attacco progettate per sfruttare le vulnerabilità e ottenere l'accesso illegale a dati sensibili. Tra queste minacce, il ransomware SamSam si distingue come una variante particolarmente pericolosa, principalmente perché si discosta dai consueti metodi di infezione basati sul phishing. Comprendere il suo funzionamento e implementare solide misure di sicurezza è essenziale per proteggere i propri sistemi.

Cos’è il ransomware SamSam?

Rilevato per la prima volta tra la fine del 2015 e l'inizio del 2016, il ransomware SamSam, noto anche come Samas o SamsamCrypt, ha rapidamente guadagnato notorietà per i suoi attacchi mirati a settori critici, tra cui sanità, trasporti, istruzione e amministrazioni locali. A differenza delle tipiche campagne ransomware che si basano su tattiche di ingegneria sociale, SamSam sfrutta direttamente la rete.

Sebbene inizialmente si ritenesse che il malware avesse avuto origine nell'Europa orientale, le indagini hanno poi collegato il malware a criminali informatici iraniani, con due individui incriminati nel 2018. Il suo impatto è stato globale, con attacchi documentati negli Stati Uniti, nel Regno Unito, in Francia, in Portogallo, in Australia, in Canada e in Medio Oriente.

Campagne di attacco famigerate

Dipartimento dei trasporti del Colorado
Nel febbraio 2018, il Dipartimento dei Trasporti del Colorado ha dovuto affrontare una grave crisi quando SamSam ha crittografato i suoi sistemi e richiesto il pagamento in Bitcoin. Rifiutandosi di ottemperare, il Dipartimento dei Trasporti del Colorado ha speso circa 1,7 milioni di dollari per le operazioni di recupero.

Governo locale di Atlanta
Nel marzo 2018, la città di Atlanta è rimasta paralizzata da un attacco SamSam, sferrato tramite un attacco brute-force sul suo protocollo RDP (Remote Desktop Protocol). Sono stati colpiti servizi che spaziavano dalle utenze al sistema giudiziario. Gli aggressori hanno richiesto 51.000 dollari in Bitcoin, ma la città ha rifiutato e alla fine ha speso 2,7 milioni di dollari per la bonifica.

Colpi al settore sanitario
SamSam ha colpito in particolare il settore sanitario, con vittime illustri come Allied Physicians of Michiana, Hancock Health e Allscripts. Solo nel 2018, il settore sanitario ha rappresentato un quarto di tutti gli attacchi SamSam noti.

Come funziona il ransomware SamSam?

A differenza del ransomware diffuso tramite email di phishing o allegati dannosi, SamSam sfrutta sistemi vulnerabili e credenziali rubate. Secondo la Cybersecurity & Infrastructure Security Agency (CISA), gli aggressori sfruttano le debolezze dei server Windows e ottengono l'accesso remoto tramite:

• Connessioni RDP esposte o non patchate
• Credenziali di accesso acquistate o forzate brute

• Strumenti di sfruttamento come JexBoss per le applicazioni JBoss

Una volta all'interno, gli aggressori aumentano i privilegi, distribuiscono manualmente il malware e crittografano i file critici. Questo approccio pratico consente di colpire con precisione e causare danni estesi alle reti compromesse.

La nota di riscatto e le tattiche di pagamento

Dopo aver completato la crittografia, gli operatori di SamSam lasciano una richiesta di riscatto alle vittime, invitandole a comunicare tramite un portale basato su Tor. Il pagamento viene richiesto in Bitcoin e, sebbene alcune vittime abbiano ricevuto le chiavi di decrittazione dopo il pagamento, non vi è alcuna garanzia che gli aggressori rispettino l'accordo.

SamSam è ancora una minaccia?

Sebbene gli attacchi pubblicizzati siano diminuiti dopo il 2018 e gli operatori chiave siano stati arrestati, non ci sono prove che il ransomware sia stato debellato. Non esiste uno strumento di decrittazione ufficiale, il che significa che SamSam dovrebbe ancora essere considerato un rischio attivo.

Rafforza la tua difesa: le migliori pratiche di sicurezza

Prevenire un'infezione da SamSam richiede una strategia di sicurezza proattiva incentrata sulla chiusura delle vulnerabilità sfruttate. Ecco i passaggi essenziali che ogni organizzazione dovrebbe implementare:

1. Accesso RDP sicuro e di controllo

• Disattivare RDP se non necessario.
• Per i servizi RDP necessari, applicare un'autenticazione forte e limitare l'accesso agli indirizzi IP attendibili.
• Applicare tempestivamente le patch di sicurezza più recenti per eliminare eventuali falle sfruttabili.

2. Applicare il principio del privilegio minimo

• Limitare i permessi utente alle sole funzioni essenziali.
• Utilizzare il controllo degli accessi basato sui ruoli per impedire danni estesi causati da un singolo account compromesso.

3. Adottare criteri di password e autenticazione robusti

• Una strategia per password efficaci dovrebbe includere:
• Un mix di lettere maiuscole e minuscole, numeri e caratteri speciali.
• Modifiche regolari della password e divieto di riutilizzo.
• Errori comuni da evitare:
• Condivisione delle credenziali con altri.
• Disabilitare l'autenticazione a più fattori (MFA).
• Memorizzazione delle password in file non protetti.

4. Mantenere backup regolari

• Conservare i backup offline o su reti segmentate.
• Testare periodicamente le procedure di ripristino per garantirne l'efficacia.

Considerazioni finali

Il ransomware SamSam ci ricorda chiaramente che gli attacchi ransomware non si basano sempre sull'inganno degli utenti, ma spesso sfruttano debolezze tecniche. Le organizzazioni che non proteggono le proprie connessioni RDP, non implementano misure di autenticazione avanzate o non mantengono backup adeguati rischiano di diventare la prossima notizia. Vigilanza, controlli di sicurezza a più livelli e una forza lavoro preparata rimangono la migliore difesa contro le minacce informatiche in continua evoluzione.