SamSam, nuevo ransomware que afecta a infraestructuras críticas

S21sec reportó un aumento en los ataques llevados a cabo mediante el ransomware SamSam, el cual es muy particular ya que se lleva a cabo con moderación, en un número relativamente pequeño de ataques dirigidos. El gobierno de Estados Unidos publicó un aviso acerca de la naturaleza oportunista del mismo, puesto que aprovecha las vulnerabilidades de los sistemas y servidores, para así moverse lateralmente a través de la red para identificar a sus potenciales objetivos.

El origen de este malware se sitúa en el año 2016, bajo la autoría del grupo conocido como Gold Lowell, quienes tienen como objetivo la industria de la salud, infraestructuras críticas y gobiernos locales.

Los atacantes de SamSam utilizan una combinación de técnicas, tales como el pentesting; herramientas como Mimikatz, para obtener credenciales; o PSexec para moverse lateralmente en las redes del objetivo, donde el malware será instalado manualmente.

Esta técnica permite sortear los antivirus y evitar la generación de alertas, ya que los dispositivos de seguridad generalmente reconocen este tráfico como comandos legítimos desde dentro de la organización atacada.

 

Métodos de ataque

Cada ataque de SamSam se ha realizado utilizando una versión diferente del malware, con sus correspondientes mejoras en el código, que también le permiten robar las credenciales de accesos de los dispositivos afectados. En algunos casos, cuando la ejecución es bloqueada por una herramienta de protección endpoint, los atacantes modifican el registro de entrada para deshabilitar el escaneado endpoint.

Una vez dentro de una red, pasaría todo el tiempo posible escaneando la red, mapeando su diseño y utilizando varias herramientas legítimas para expandir su acceso a servidores locales desde donde podrían infectar otras estaciones de trabajo.

Por último, el ransomware cifra las máquinas comprometidas y muestra la nota de rescate a la compañía afectada, con el consiguiente pago de la compañía por cada computadora individual o en bloque para todas las estaciones de trabajo infectadas.