Porto de San Diego Ransomware Attack: Rescaldo do Malware SamSam Lowdown

Em 25 de setembro de 2018, o porto de San Diego, dos EUA, sofreu um grave ataque cibernético com o SamSam Ransomware . O infame malware, que já infectou mais de 200 organizações públicas e privadas desde dezembro de 2015, apresentou sérios desafios para as operações diárias do Porto. No entanto, esses desafios não fizeram com que o Porto fosse desligado por um segundo. As autoridades portuárias também não pagaram o resgate, e atualizações recentes mostraram como eles conseguiram manter o navio em funcionamento.

A prevenção adequada é essencial

O Porto de San Diego é uma parte vital da infra-estrutura marítima dos EUA, devido ao seu duplo papel. Embora sirva, antes de tudo, carga comercial e navios de cruzeiro, o porto também poderia transformar uma instalação militar sob o comando do Departamento de Defesa, se necessário. É por isso que não é de surpreender que as autoridades portuárias tenham desenvolvido um sistema de backup eletrônico pelas recomendações do FBI para lidar com ameaças de ransomware antes do SamSam atacar. Foi esse sistema de backup que permitiu que os funcionários do porto restaurassem os dados perdidos para a criptografia sem precisar fornecer o valor do resgate exigido.

Além dos backups regulares, havia mais algumas coisas que os funcionários fizeram para reduzir o impacto do ataque de ransomware SamSam ao mínimo. Para começar, eles se certificaram de:

• Desligue todos os computadores da rede.
• Use PCs de substituição e sistemas alternativos.
• Forbear de trocar quaisquer anexos de e-mail para conter a infecção.

Além disso, parece que a infecção do SamSam Ransomware ocorreu após as autoridades portuárias terem lançado uma campanha destinada a aumentar a segurança de seus sistemas de rede para torná-los à prova contra ataques cibernéticos de qualquer tipo. Embora inacabado na época, os preparativos que haviam iniciado de antemão revelaram-se suficientes para resistir ao SamSam.

Um golpe de sorte

Ao que parece, os comissários do governo do Porto de San Diego conseguiram resistir à tempestade de ransomware, tomando uma série de decisões corretas ao longo do caminho. No entanto, seu sucesso deve-se em parte ao próprio ransomware SamSam e aos agentes de malware por trás deles, porque eles se concentraram na coleta de dados administrativos em vez de operacionais . É por isso que o ataque não interrompeu as operações de rotina nas docas e interrompeu apenas alguns serviços públicos e comerciais por um curto período de tempo. Um cenário diferente do ataque poderia ter tido um resultado diferente, muito menos favorável.

Resposta sem precedentes do Tesouro e do FBI

A implantação generalizada do ransomware SamSam em ataques contra hospitais, instituições educacionais, corporações e órgãos governamentais importantes em todo o país levou o FBI a lançar uma investigação criminal sobre o desagradável criptovírus. Ajudado pelo Departamento de Justiça e pelo Departamento do Tesouro, a investigação rastreou a origem do ransomware SamSam para um cybergang iraniano. Essa é a gangue responsável por extorquir o bitcoin das vítimas do SamSam. No entanto, a gangue supostamente contou com dois indivíduos - Mohammad Ghorbaniyan e Ali Khorashadizadeh - para converter a fortuna acumulada de BTC em rials iranianos. De acordo com o Tesouro, os dois 'facilitadores' usaram dois endereços de Bitcoin para fazer o trabalho, a saber:

• endereço 1: 149w62rY42aZBox8fGcmqNsXUzSStKeq8C.
• endereço 2: 1AjZPMsnmpdK2Rv9KQNfMurTXinscVro9V.

Nos últimos cinco anos, Khorashadizadeh e Ghorbaniyan trocaram 6 mil BTC dos dois endereços mencionados acima. Uma parte específica do total de graduação origina-se de ninguém menos que o ransomware SamSam.

O ataque combinado contra o Porto de San Diego e o resultado favorável, no final, sublinham a necessidade de qualquer organização tomar as devidas precauções na luta diária contra a indústria do cibercrime. Para este último não mostra sinais de abrandar a qualquer momento em breve.