O que é o Ransomware SamSam?

O Ransomware tornou-se num negócio multimilionário no mercado negro para cibercriminosos, sendo um dos exemplos mais evidentes o SamSam. Com inicio de actividade em 2015, já extorquiu cerca de 6 milhões de dólares às suas vitimas.

O que torna este Ransomware diferente dos demais é a forma de infiltração. Não é distribuído por campanhas de email. Para infectar as suas vitimas, os atacantes escolhem alvos potenciais e infectam os sistemas manualmente. Isto permite que os ataques não sejam perceptíveis de imediato pela maioria dos sistemas utilizados nas diversas camadas de segurança, cujos IOC (Indicators of Compromise) estejam “calibrados” para ataques em massa e/ou com vectores reconhecidos como ataques de malware.

Primeiro, os atacantes procedem ao ataque a equipamentos com RDP (Remote Desktop) activo – por via de brute-force ou utilizando credenciais roubadas disponíveis na dark web – e após obterem acesso a estes sistemas, procedem à infecção sistemática de todos os equipamentos da rede.

Assim que o atacante verifique que conseguiu proceder à infecção da maioria dos equipamentos, estes são encriptados e é solicitado o resgate que, na maioria dos casos, ascende aos 50.000 dólares.

Os perigos deste tipo de Ransomware, face aos mais comuns que são disseminados por via automática (i.e. WannaCry, NotPetya), são maioritariamente esta intervenção humana que torna tudo mais perigoso, visto que a entrada deste atacante no sistema além de infectar os equipamentos com Ransomware, permite também que sejam instaladas APT (Advanced Persistent Threat) e RAT (Remote Access Tool) que resultam num acesso continuado por parte dos atacantes.

Na realidade portuguesa, um dos casos mediáticos será o dos Hospitais CUF que foram afectados por esta ameaça no início de Agosto de 2018.

É também preocupante o número de equipamentos em território nacional que são potenciais vítimas. Numa rápida consulta a uma plataforma pública encontramos mais de 7000 equipamentos com Remote Desktop aberto para o mundo. 

A protecção passa pela prevenção recorrendo a uma protecção multi-camada e um cuidado planeamento que limite a exposição de serviços para a internet. Quando a utilização destes serviços são imperativos para a continuidade da operação das empresas, deverão ser colocados mecanismos de protecção que limitem o acesso e garantam uma comunicação segura (i.e. VPN com autenticação de dois factores).

Se quiser saber mais sobre alguns dos conceitos utilizados neste artigo, pode aceder a estas ligações.

— APT – https://pt.wikipedia.org/wiki/Amea%C3%A7a_persistente_avan%C3%A7ada

— RAT – https://pt.wikipedia.org/wiki/Remote_Administration_Tool

— IOC – https://en.wikipedia.org/wiki/Indicator_of_compromise