SamSam: o novo malware que causou prejuízos de $ 6 milhões
Em menos de três meses em seu trabalho como prefeita recém-eleita de Atlanta, em março de 2018, Keisha Lance Bottoms presenciou o fato de que um novo malware se instalou na infraestrutura de Atlanta.
O sistema judicial cancelou as nomeações, 90% dos computadores do Departamento de Obras Públicas ficaram inacessíveis e anos de vídeos de câmeras capturados pela polícia foram perdidos.
A cidade estava sob cerco. “Estamos lidando com uma situação de reféns”, disse Lance Bottoms a repórteres em uma entrevista à época.
Em 22 de março, hackers ativaram o ataque de ransomware inserido na infraestrutura de computadores de Atlanta e exigiram o pagamento de US $ 50 mil em bitcoins para que os sistemas voltassem ao normal.
Cinco dias depois, 8 mil funcionários da cidade foram informados de que poderiam reiniciar suas máquinas, mas grandes problemas, incluindo pagamentos por serviços, ainda estavam sendo reclamados cerca de um mês depois.
Atlanta foi uma das centenas de organizações e empresas do setor público a serem alvo do ransomware espalhado pelo grupo de hackers SamSam. Mas o que são esses ataques e como você pode proteger sua empresa?
SamSam: o novo malware que causou prejuízos de $ 6 milhões
Enquanto a decisão tomada em Atlanta foi a de não pagar o resgate de dados, o grupo SamSam está ganhando cerca de US $ 330 mil por mês e acumulou quase US $ 6 milhões desde que foi visto pela
primeira vez em 2015, segundo uma nova pesquisa da empresa de segurança cibernética Sophos.
A cidade de Atlanta não está sozinha. O SamSam forçou o Departamento de Transporte do Colorado, também nos EUA, a encerrar mais de 2.000 máquinas e forçou um hospital de Indiana a perder acesso a históricos de pacientes e horários de consultas. A Sophos afirma ainda que há uma nova vítima de ransomware SamSam a cada dia.
O ransomware SamSam simplesmente não desaparece. Essa variedade de ransomware personalizada entrou em cena em 2016 e, hoje, está alimentando os tipos de ataques cibernéticos direcionados que devem fazer com que todos nós façamos uma pausa para pensar em como manter nossos ambientes seguros.
Naturalmente, as organizações geralmente pagam um preço, mesmo que estejam em condições de se
recuperar de um backup recente.
Os altos e baixos custos associados ao tempo de inatividade do ransomware vão desde recuperação de TI e custos de remediação do cliente até o moral dos funcionários e danos à reputação da marca. Em suma, vale a pena estar preparado.
E, como aparentemente há uma crescente nos ataques de ransomware SamSam, é essencial entender como esses ataques são implantados para garantir que você proteja melhor seus dados críticos.
Como o grupo SamSam cria e espalha seus ataques
O que diferencia o novo malware SamSam de outros malwares é que ele é controlado por um pequeno grupo de pessoas e é manualmente implantado na rede da vítima depois de invadi-la. Mas não há nada
particularmente sofisticado no código do SamSam.
Os ransomwares cotidianos, como são conhecidos os malwares tradicionais, muitas vezes adotam uma abordagem espalhar e rezar para dar certo.
Os criminosos cibernéticos definem suas armadilhas — distribuindo e-mails e disponibilizando o drive-by-downloads amplamente. Então, eles esperam que uma vítima desavisada execute inadvertidamente sua carga útil. O ransomware SamSam é diferente.
Com o novo malware SamSam, os atacantes cibernéticos escaneiam a web em busca de software do lado do servidor sem patches e se entregam discretamente ao backdoor.
Com acesso ao ambiente da vítima pelo novo malware, os invasores coletam dados e credenciais antes de implantar uma versão personalizada do SamSam ransomware. Em seguida, eles usam o servidor
infectado para distribuir o ransomware de criptografia para máquinas Windows na rede, bem como para backups baseados em rede.
Esses ataques são parte de uma tendência crescente em direção a ataques de ransomware direcionados. Embora nenhuma organização esteja a salvo do ransomware, os invasores hoje estão aproveitando abordagens mais direcionadas para explorar as organizações vulneráveis com muitos recursos e muito a perder, como os sistemas de saúde, por exemplo.
Como sua empresa pode proteger contra o novo malware SamSam
Quando se trata do novo malware SamSam, é absolutamente essencial que você garanta que seu software do lado do servidor esteja atualizado em seus patches.
Para evitar tornar-se uma vítima, a melhor defesa contra o SamSam ou qualquer outra forma de malware é adotar uma abordagem em camadas de defesa em profundidade para a segurança.
Os alvos do SamSam parecem ser escolhidos com base em sua vulnerabilidade. Ataques anteriores estabeleceram uma posição nas redes das vítimas, explorando vulnerabilidades de software conhecidas. Mais recentemente, os ataques começaram com a força bruta das credenciais do RDP.
Manter-se atualizado e manter uma boa disciplina de senha fornecerá uma barreira formidável aos ataques do SamSam. Além disso, recomendamos que você implemente as seguintes práticas recomendadas:
- Empregue um sistema centralizado de gerenciamento de patches para detectar mais facilmente as vulnerabilidades do dispositivo, do software e do firmware do ponto de
- extremidade que podem estar presentes em seu ambiente, permitindo que você remende-as mais rapidamente;
- Faça backup regularmente dos seus dados e verifique se eles foram concluídos com sucesso;
- Mantenha cópias na nuvem de seu backup — idealmente, pelo menos duas cópias na nuvem e uma offline.
Além disso, se os invasores do novo malware SamSam tiverem acesso à sua rede, eles tentarão se tornar Administradores de Domínio usando uma combinação de ferramentas e explorações de hackers.
Uma abordagem usa a ferramenta de coleta de credenciais Mimikatz para roubar a senha do Administrador de domínio da memória quando eles fazem login.
A escala de privilégios pode levar dias e, quanto mais demorar, mais chances você tem de identificar o intruso. Para conter e frustrar um invasor, você deve seguir o princípio de privilégio mínimo, dando às contas de usuário apenas os direitos de acesso de que precisam e nada mais. Por exemplo:
- Os usuários que não precisam instalar softwares não devem ter privilégios administrativos;
- As contas de administrador de domínio devem ser usadas para tarefas de administração, não para emails ou navegação na web;
- Sempre que possível, favoreça a elevação de privilégios de domínio sobre o uso de contas de administrador de domínio;
- Avalie sempre a necessidade de acessos a serviços importantes, como por exemplo bancos de dados SQL para backups;
- Restrinja o acesso ao sistema crítico para o menor grupo possível;
- Bloqueie o acesso a valores e informações críticas sempre e quanto for possível.
Com essas práticas recomendadas em vigor, você não apenas evitará um ataque do novo malware, mas também estará em melhor posição para conter os danos e recuperar-se rapidamente.
Gostou do nosso artigo? Quer continuar atualizado sobre as principais ameaças e como se proteger delas? Assine nossa newsletter e acompanhe nosso blog!
