SamSam-ransomware

Malware blijft een van de meest urgente bedreigingen voor zowel individuen als organisaties. Cybercriminelen innoveren voortdurend en ontwikkelen nieuwe aanvalsstrategieën die kwetsbaarheden uitbuiten en onrechtmatige toegang tot gevoelige gegevens verkrijgen. Onder deze bedreigingen is SamSam Ransomware een bijzonder gevaarlijke variant, vooral omdat het afwijkt van de gebruikelijke phishing-gebaseerde infectiemethoden. Begrijpen hoe het werkt en het implementeren van robuuste beveiligingsmaatregelen is essentieel om uw systemen veilig te houden.

Wat is SamSam Ransomware?

SamSam Ransomware, ook bekend als Samas of SamsamCrypt, werd voor het eerst ontdekt tussen eind 2015 en begin 2016 en verwierf al snel beruchtheid vanwege gerichte aanvallen op kritieke sectoren, waaronder de gezondheidszorg, transport, onderwijs en lokale overheden. In tegenstelling tot typische ransomwarecampagnes die gebruikmaken van social engineering, maakt SamSam gebruik van directe netwerkexploitatie.

Hoewel aanvankelijk werd gedacht dat de malware uit Oost-Europa kwam, werd de malware door onderzoek later in verband gebracht met Iraanse cybercriminelen. In 2018 werden twee personen aangeklaagd. De malware had een wereldwijde impact, met gedocumenteerde aanvallen in de Verenigde Staten, het Verenigd Koninkrijk, Frankrijk, Portugal, Australië, Canada en het Midden-Oosten.

Beruchte aanvalscampagnes

Colorado Department of Transportation
In februari 2018 kreeg het Colorado Department of Transportation te maken met een grote verstoring toen SamSam zijn systemen versleutelde en betaling in Bitcoin eiste. CDOT weigerde hieraan mee te werken en spendeerde naar schatting $ 1,7 miljoen aan herstelwerkzaamheden.

Lokale overheid van Atlanta
In maart 2018 werd de stad Atlanta platgelegd door een SamSam-aanval via een bruteforce-aanval op het Remote Desktop Protocol (RDP). Diensten variërend van nutsbedrijven tot het rechtssysteem werden getroffen. De aanvallers eisten $ 51.000 in Bitcoin, maar de stad weigerde en gaf uiteindelijk $ 2,7 miljoen uit aan herstel.

Gezondheidszorgsector getroffen
SamSam was vooral een plaag voor de gezondheidszorg, met bekende slachtoffers zoals Allied Physicians of Michiana, Hancock Health en Allscripts. Alleen al in 2018 was de gezondheidszorg verantwoordelijk voor een kwart van alle bekende SamSam-aanvallen.

Hoe werkt SamSam Ransomware?

In tegenstelling tot ransomware die zich verspreidt via phishingmails of kwaadaardige bijlagen, maakt SamSam misbruik van kwetsbare systemen en gestolen inloggegevens. Volgens de Cybersecurity & Infrastructure Security Agency (CISA) maken aanvallers misbruik van zwakke plekken in Windows-servers en verkrijgen ze op afstand toegang via:

• Blootgestelde of niet-gepatchte RDP-verbindingen
• Aangekochte of brute-forced inloggegevens

Eenmaal binnen, verhogen aanvallers hun rechten, implementeren ze de malware handmatig en versleutelen ze kritieke bestanden. Deze praktische aanpak maakt nauwkeurige targeting en grootschalige schade binnen gecompromitteerde netwerken mogelijk.

De losgeldnota en betalingstactieken

Na voltooiing van de versleuteling laten SamSam-operators een losgeldbrief achter waarin slachtoffers worden geïnstrueerd om te communiceren via een Tor-portaal. Betalingen worden in Bitcoin geëist en hoewel sommige slachtoffers na betaling decryptiesleutels hebben ontvangen, is er geen garantie dat de aanvallers zich aan de overeenkomst zullen houden.

Is SamSam nog steeds een bedreiging?

Hoewel het aantal gepubliceerde aanvallen na 2018 afnam en belangrijke beheerders werden gearresteerd, is er geen bewijs dat de ransomware is uitgeroeid. Er bestaat geen officiële decryptietool, wat betekent dat SamSam nog steeds als een actief risico moet worden beschouwd.

Versterk uw verdediging: beste beveiligingspraktijken

Het voorkomen van een SamSam-infectie vereist een proactieve beveiligingsstrategie die gericht is op het dichten van de kwetsbaarheden die worden uitgebuit. Hieronder volgen essentiële stappen die elke organisatie zou moeten implementeren:

1. Veilige en gecontroleerde RDP-toegang

• Schakel RDP uit indien niet nodig.
• Voor noodzakelijke RDP-services moet u sterke authenticatie afdwingen en de toegang beperken tot vertrouwde IP-adressen.
• Installeer de nieuwste beveiligingspatches zo snel mogelijk om kwetsbaarheden te elimineren.

2. Handhaaf het principe van de minste privileges

• Beperk gebruikersrechten tot alleen de essentiële functies.
• Gebruik op rollen gebaseerde toegangscontrole om wijdverbreide schade door één gecompromitteerd account te voorkomen.

3. Sterke wachtwoord- en authenticatiebeleid hanteren

• Een sterke wachtwoordstrategie moet het volgende omvatten:
• Een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens.
• Regelmatig wachtwoord wijzigen en hergebruik verbieden.
• Veelvoorkomende fouten die u moet vermijden:
• Het delen van referenties met anderen.
• Multi-factor-authenticatie (MFA) uitschakelen.
• Wachtwoorden opslaan in onbeveiligde bestanden.

4. Maak regelmatig back-ups

• Bewaar back-ups offline of op gesegmenteerde netwerken.
• Test de restauratieprocedures regelmatig om de effectiviteit ervan te garanderen.

Laatste gedachten

SamSam-ransomware laat zien dat ransomware-aanvallen niet altijd gebaseerd zijn op het misleiden van gebruikers, maar vaak op het uitbuiten van technische zwakheden. Organisaties die hun RDP-verbindingen niet beveiligen, geen sterke authenticatiemaatregelen afdwingen of geen goede back-ups onderhouden, lopen het risico om in het nieuws te komen. Waakzaamheid, gelaagde beveiligingsmaatregelen en een goed opgeleid personeelsbestand blijven de beste verdediging tegen evoluerende cyberdreigingen.