Cómo opera SamSam, el ransomware de los USD 6 millones

Ésa es la suma que cobraron los cibercriminales a víctimas alrededor del mundo. Este ataque consiste en el robo de contraseñas para el acceso remoto a los dispositivos (a través del acceso a credenciales RDP) y de ese modo secuestrar la información.

SamSam es un ransomware que, tal como todos los malware que entran en esta clasificación, una vez que ingresa en el sistema secuestra los archivos y los cifra. De ese modo, los vuelven inaccesible para el usuario a quien se le pide que pague un rescate para volver a ingresar a ellos.

Por medio de este ransomware los ciberdelincuentes ya llegaron recaudar casi USD 6 millones, según una información publicada por Sophos. La novedad, afirman los investigadores, es que se conocieron más detalles respecto de la operatoria de este malware que viene circulando desde 2015.

A diferencia de otros ransomware que se lanzan de manera masiva, éste tiene objetivos específicos. Se trata de ataques dirigidos a entidades o individuos, que pueden tener efectos devastadores.

Cómo son los ataques

"El atacante obtiene acceso a la red de la víctima a través de RDP (siglas en inglés para Protocolo de Acceso remoto a Desktop) utilizando software como NLBrute para adivinar contraseñas débiles", se destaca en el comunicado de Sophos.

El RDP es un protocolo que permite acceder a una computadora conectada de manera remota. Por medio de esta opción se puede mover el mouse, ver la pantalla del dispositivo y básicamente hacer lo que se desee en ese equipo, desde la distancia.

"Es un ataque de fuerza bruta, que consiste mucha veces en un robot que intenta varias veces hasta conseguir la clave", explica a Infobae el ingeniero Pablo Rodríguez Romeo, especialista en seguridad, perito y socio del Estudio CySI de Informática Forense.

El ciberatacante obtiene el password, ya sea por medio de programas como NLBrute o simplemente adivinando haciendo trabajo de inteligencia. Esto implica el rastreo de publicaciones en las redes sociales y cualquier otra fuente de información para obtener indicios de cuál podría ser la clave del usuario que se quiere afectar.

Un vez que el atacante tiene la contraseña, inician sesión y emplea varias herramientas para escalar sus privilegios hasta el nivel de administrador de dominio.

Luego revisa la red, identifica objetivos valiosos y lanza el malware de manera dirigida. Luego se contactan con la víctima para pedirle que hagan un pago en alguna criptomoneda y siguiendo pasos de modo tal que no queden rastros.

A su vez, es posible que el ciberdelincuente genere varias cuentas de administrador. De ese modo, aunque se identifique el problema y se cambie la contraseña, el hacker se asegura de tener varias cuentas de backup para volver a ingresar en el sistema.

Como se ve, a diferencia de lo que ocurre con WannaCry, que se comporta como un gusano porque se propaga en la red de manera automática, sin objetivos específicos, acá hay un trabajo humano que es protagónico.

Se hace inteligencia, se eligen targets y se ejecuta el malware de manera manual. Y recién una vez que se llegó al objetivo en cuestión, se generan varias copias del ransomware que se propagan en cuestión de segundos.

Los horarios y las regiones

De acuerdo con los datos reportados, la mayoría de las víctimas están en Estados Unidos y el Reino Unido pero no se descarta que se extienda a países de América Latina.

Por otra parte, los ataques iniciales se suelen orquestar de noche cuando se supone que las víctimas están dormidas y menos alerta para detectar estas intrusiones.

Qué hacer

Desde Sophos sugieren mantener el sistema actualizado, utilizar contraseñas robustas y cambiarlas con frecuencia.

También recomiendan que se hagan pruebas de penetración y se revise la red con frecuencia para buscar posibles amenazas.

Por otra parte, es conveniente restringir el acceso RDP a los integrantes de la empresa o entidad que se conectan por VPN. Y recomiendan usar autenticación multifactor para este tipo de accesos.

En este sentido, desde Fortinet destacan en un comunicado que para limitar la proliferación de estas amenazas, las organizaciones deben emplear técnicas de gestión de acceso que incluyan "una segmentación segura de la red para aislar dispositivos y datos y así garantizar que incluso aquellos que tienen acceso privilegiado a la red más amplia no puedan ver ni poner en peligro los dispositivos".

Por último, se sugiere hacer backup frecuente tanto online como offline. La frecuencia es fundamental porque, de ese modo, se puede recuperar la información en caso de que el sistema haya sido comprometido.

MÁS SOBRE ESTE TEMA: 

La historia detrás del grupo de hackers Shadow Brokers y la filtración de más de 69 mil datos de tarjetas de crédito y débito

Cómo prevenir un ciberataque: 50 mil millones de riesgos y engaños en solo 82 segundos

Crean un sistema de inteligencia artificial que predice la personalidad analizando los movimientos oculares