El mercado negro de malware ha movido siempre mucho dinero, y SamSam es un gran ejemplo de este tipo de negocio. El creador del Ransomware SamSam ya ha ganado cerca de 6 millones de dólares desde el año 2015 en el cual lanzó este malware al público.
Según el estudio que realizó la empresa de seguridad Sophos, el creador ha ganado 5.9 millones de dólares por medio de 233 víctimas de malware con ganancias de cerca de 300.000 dólares mensuales.
El malware en particular tenia un factor de compromiso de seis etapas.
Cuando se iniciaron los ataques con este malware ya se sabia que estaban atacando sistemas JBOSS para ganar privilegios y hacerse de los equipos de la red. Adicionalmente también tuvo mucho éxito el acceso a equipos con RDP abierto a Internet, que con ataques de fuerza bruta lograban acceder a dichos equipos.
La ventaja de los ataques a RDP es que existen motores de búsqueda como shodan o Censys que son capaces de informar a quien lo necesite cuales son las IP que tienen el puerto de Escritorio Remoto de windows abierto a Internet. Particularmente los ataques de escritorio Remoto apuntaba a usuarios ubicados en los Estados Unidos.
De las dos formas que se detallan en el párrafo anterior, el uso de RDP fue el más exitoso para que los atacantes se hicieran de un equipo y lograr cifrarlo.
Posterior al ingreso del equipo ya sea mediante RDP o por Exploit el atacante intentaba hacerse con las cuentas de Administrador del Dominio. Esta etapa podría tomar días, ya que el atacante esperaba que hubiera un login en el equipo para poder secuestrar la cuenta.
SamSam, no posee ninguna característica de Virus o gusano, por tanto no es capaz de poder replicarse a si mismo o infectar otras máquinas de manera autónoma. Actualmente para poder realizar esta tarea, el atacante utiliza herramientas legítimas del sistema, gracias al robo de las credenciales del equipo y así simular la implementación de la aplicación en la red desde el controlador de dominio al resto de la red.
La herramienta de implementación preferida del atacante es la aplicación Sysinternals PsExec, que el atacante usa para copiar archivos a través de la red. Se sabe que el atacante usa otras herramientas de implementación en situaciones donde PsExec está bloqueado. En un ataque reciente, se los vio cambiando a una herramienta similar llamada PaExec de PowerAdmin.
Después de todos estos pasos, el ransomware cifra el equipo y envía los mensajes de rescate.
Según el estudio que realizó la empresa de seguridad Sophos, el creador ha ganado 5.9 millones de dólares por medio de 233 víctimas de malware con ganancias de cerca de 300.000 dólares mensuales.
El malware en particular tenia un factor de compromiso de seis etapas.
Identificación de la víctima
Cuando se iniciaron los ataques con este malware ya se sabia que estaban atacando sistemas JBOSS para ganar privilegios y hacerse de los equipos de la red. Adicionalmente también tuvo mucho éxito el acceso a equipos con RDP abierto a Internet, que con ataques de fuerza bruta lograban acceder a dichos equipos.
La ventaja de los ataques a RDP es que existen motores de búsqueda como shodan o Censys que son capaces de informar a quien lo necesite cuales son las IP que tienen el puerto de Escritorio Remoto de windows abierto a Internet. Particularmente los ataques de escritorio Remoto apuntaba a usuarios ubicados en los Estados Unidos.
Penetración a la Red
De las dos formas que se detallan en el párrafo anterior, el uso de RDP fue el más exitoso para que los atacantes se hicieran de un equipo y lograr cifrarlo.
Elevación de privilegios.
Posterior al ingreso del equipo ya sea mediante RDP o por Exploit el atacante intentaba hacerse con las cuentas de Administrador del Dominio. Esta etapa podría tomar días, ya que el atacante esperaba que hubiera un login en el equipo para poder secuestrar la cuenta.
Escanear la red en búsqueda de equipos objetivos.
SamSam, no posee ninguna característica de Virus o gusano, por tanto no es capaz de poder replicarse a si mismo o infectar otras máquinas de manera autónoma. Actualmente para poder realizar esta tarea, el atacante utiliza herramientas legítimas del sistema, gracias al robo de las credenciales del equipo y así simular la implementación de la aplicación en la red desde el controlador de dominio al resto de la red.
Implementando el Ransomware
La herramienta de implementación preferida del atacante es la aplicación Sysinternals PsExec, que el atacante usa para copiar archivos a través de la red. Se sabe que el atacante usa otras herramientas de implementación en situaciones donde PsExec está bloqueado. En un ataque reciente, se los vio cambiando a una herramienta similar llamada PaExec de PowerAdmin.
A esperar el pago.
Después de todos estos pasos, el ransomware cifra el equipo y envía los mensajes de rescate.
Desde diciembre de 2015, SamSam ha apuntado significativamente a algunas grandes organizaciones, incluido el gobierno de la ciudad de Atlanta, el Departamento de Transporte de Colorado, varios hospitales e instituciones educativas como la Universidad Estatal del Valle del Misisipi.
Hasta ahora llamamos a que no se realicen publicaciones de escritorio remoto en internet, y que todos los accesos a la compañia sean mediante VPN o conexiones protegidas.
