Ransomware SamSam – Novos indicadores

Extensas pesquisas da Sophos revelaram uma grande quantidade de novas informações sobre o notório ransomware SamSam, revelando que ele afetou muito mais vítimas do que se pensava anteriormente, e gerou muito mais demandas de resgate – quase US $ 6 milhões.

Através de análises originais, entrevistas e pesquisas, e colaborando estreitamente com parceiros da indústria e uma organização especializada em monitoramento de criptomoeda, a Sophos descobriu novos detalhes sobre como o ransomware SamSam é usado, quem tem sido alvo, como funciona e como está evoluindo.

Uma raça diferente de malware

O que diferencia o SamSam da maioria dos outros ransomwares, e por que a pesquisa detalhada sobre ele é tão importante, é o modo como é usado em ataques direcionados furtivos.

A maioria dos ransomwares é distribuída em campanhas de spam grandes, barulhentas e não direcionadas, enviadas a milhares ou até centenas de milhares de pessoas. Eles usam técnicas simples para infectar as vítimas e buscam arrecadar dinheiro através de um grande número de resgates relativamente pequenos, talvez de algumas centenas de dólares cada.

O SamSam é muito diferente – é usado em ataques direcionados por uma equipe ou pessoa habilidosa que invade a rede da vítima, examina e executa o malware manualmente. Os ataques são feitos sob medida para causar danos máximos e as demandas de resgate são medidas em dezenas de milhares de dólares.

Como o malware tem sido usado com moderação em comparação com outros tipos de ransomware, os detalhes sobre como ele funciona e como os ataques se desenrolam desde a sua primeira aparição em dezembro de 2015. Embora seja improvável que você seja alvo de um ataque de ransomware SamSam – ataques ocorrem a uma taxa de cerca de um por dia – aqueles que são podem achar os efeitos devastadores.

Novas idéias

O trabalho de pesquisa revela uma série de novos insights técnicos, incluindo novos detalhes sobre como o SamSam examina as redes das vítimas e constrói a lista de máquinas que vai criptografar.

Talvez a mais atraente seja a nova informação sobre como ela se espalha: ao contrário do WannaCry, que explorava uma vulnerabilidade de software para se copiar para novas máquinas, o SamSam é implantado em computadores da rede da vítima da mesma maneira e com as mesmas ferramentas. como aplicativos de software legítimos.

A investigação da Sophos também lança nova luz sobre o número de ataques, com que frequência eles ocorrem e quem foi alvo. Com base nas vítimas conhecidas, tem sido amplamente especulado até agora que os ataques do SamSam são direcionados especificamente para os setores de saúde, governo e educação. Sophos pode revelar que este não é o caso.

Trabalhando com a organização de monitoramento da criptomoeda , Neutrino , a Sophos acompanhou o dinheiro e identificou muitos pagamentos de resgate e vítimas que eram desconhecidas anteriormente. Com base no número muito maior de vítimas agora conhecidas, parece que, longe de não ser afetado, o setor privado realmente arcou com o peso do SamSam. As vítimas nesse setor simplesmente relutaram muito mais em se apresentar.

A trilha do dinheiro também revelou que a SamSam arrecadou quase US $ 6 milhões em pagamentos de resgates – cerca de seis vezes mais do que a melhor estimativa mais recente.

O que fazer?

Para evitar tornar-se uma vítima, a melhor defesa contra o SamSam ou qualquer outra forma de malware é adotar uma abordagem em camadas de defesa em profundidade para a segurança através de um antivírus profissional para sua empresa, assim como o Sophos endpoint com Intercept X, clique aqui e fale já com a Konfido sobre!

Notícia “Naked Security”