lunes, 22 de enero de 2018

SamSam, un nuevo ransomware dirigido a instituciones públicas


Los propietarios de esta amenaza parece que están teniendo éxito en el comienzo de este año. Expertos en seguridad informan que un número importante de instituciones (sobre todo estadounidenses) se han visto afectadas por este ransomware, bautizando con el nombre SamSam. De nuevo, los ciberdelincuentes centran sus esfuerzos en entidades públicas.

Parece que el negocio de los usuarios particulares ha quedado olvidado, o al menos en un segundo plano. Para estos parece que ha quedado reservado el minado de criptomonedas, algo menos “dañino” y que el final produce más beneficios.

Volviendo con la amenaza que nos ocupa, parece que algunos hospitales habrían pagado incluso el rescate solicitado por recuperar el acceso a los datos afectados, incluso disponiendo de una copia de seguridad que permitiría recuperar una cantidad importante de la información afectada.

Expertos en seguridad ya hablan de una campaña del ransomware SamSam activa y que se prolongará durante las próximas semanas.

Detalles de SamSam


Expertos en seguridad indican que el funcionamiento es más o menos similar al de otras amenazas. Lo primero que observan los usuarios es que, en el escritorio, aparece un archivo con el nombre 0000-SORRY-FOR-FILES.html. Si se abre utilizando un navegador web, se puede ver como son las instrucciones que hay que seguir para llevar a cabo el descifrado de la información.

Aquí es donde empieza lo que podríamos considerar “nuevo”. Para acceder a todo el proceso para realizar el pago y obtener el código de desbloqueo, el usuario debe instalar Tor Browser. La cantidad a abonar es de 0,7 Bitcoin para 1 PC afectado o 3 si se quieres para todos los PCs afectados.

Nada mas que decir que todos los equipos afectados son Windows, familia de sistemas operativos para los que ha sido programada esta amenaza.

300.000 dólares ganados


Teniendo en cuenta que la campaña solo lleva en funcionamiento dos semanas y que por el momento solo hay 3 entidades afectadas, podría decirse que es una cantidad a tener en cuenta. Los expertos en seguridad indican que a esta campaña le podrían quedar aún 3 semanas. Obviamente, una vez finalizada esa, si ha sido exitosa comenzarán una nueva y ampliando los horizontes.

Expertos en seguridad detallan la forma de difusión


Aunque se piense que de nuevo los mensajes de correo electrónicos son los protagonistas, hay que decir que esto no es así. Podría decirse que el trabajo es mucho más artesanal. Utilizan conexiones RDP no seguras o con contraseñas disponibles en diccionarios de Internet hacer uso del servicio y copiar el malware sin que el usuario se percate de lo que sucede. Cuando el usuario trata de hacer algo, los archivos ya están cifrados.

Antes estos casos, las únicas dos vías de salida son la restauración del equipo a un estado anterior o bien recurrir a copias de seguridad y llevar a cabo el formateo completo del equipo. Tal vez la segunda vía sea la más recomendada.

Una vez más, queda demostrado que la seguridad existente en equipos pertenecientes a instituciones y entidades públicas deja mucho que desear, siendo el blanco más fácil para los ciberdelincuentes, incluso más que los usuarios particulares.