SamSam: padrão diferenciado de ransomware desafia SI corporativa

Especialista afirma que malware pode trazer mais danos que os anteriores WannaCry e notPetya devido à sua característica manual, já que o invasor se esquiva dos recursos tradicionais de Segurança e apaga os rastros à medida que avança nas máquinas das vítimas

Compartilhar:

Em maio de 2017, o mundo conheceu melhor o impacto que um ataque cibernético em larga escala pode ocasionar para as organizações de todos os portes e segmentos. O WannaCry foi um divisor de águas para a Segurança da Informação, mas o aprendizado ainda não foi suficiente para conter os danos de uma nova onda de ciberataques no mês seguinte com o notPetya. No entanto, há indícios que um novo tipo de ransomware pode trazer ainda mais danos às organizações, colocando em xeque a segurança corporativa tradicional.

 

Descoberto inicialmente em 2015, o SamSam apresenta um padrão diferenciado dos ransomwares já divulgados. O método utilizado pelos cibercriminosos é surpreendentemente manual, contrastando com as outras ameaças que usam e-mails com cargas maliciosas como porta de acesso. Os atacantes invadem sistemas manualmente, escolhendo bem as vítimas e se esquivando dos sistemas de segurança.

 

“O dano do SamSam é visivelmente maior. Isso se deve à natureza controlada de um ataque manual, onde o atacante se certifica que arquivos e máquinas estão sendo criptografados e impede o processo de restauração a partir de backups”, explica Peter Mackenzie, gerente global de Escalonamento de Malware da Sophos no Reino Unido. Atualmente, ele é o principal pesquisador sobre o referido ransomware.

 

Segundo o especialista, o cibercriminoso por trás do SamSam está constantemente atualizando e melhorando o malware, não descartando a hipótese que este se propague em escala global. Até o momento, 74% das vítimas conhecidas estão nos Estados Unidos, mas já foram notificados casos no Canadá, Reino Unido e Oriente Médio.

 

Comparado com a maioria dos ransomwares, Mackenzie classifica o SamSam como difícil de identificar que o WannaCry e notPetya, justamente por esse caráter manual, em que o invasor vai limpando as evidências à medida que avança pelo sistema da vítima.

 

Detalhes

 

O SamSam apareceu pela primeira vez em dezembro de 2015. Algumas vítimas relataram um evento de ransomware generalizado que impactou significativamente as operações de algumas grandes organizações, incluindo hospitais, escolas e cidades. Os detalhes do ataque levaram algum tempo para serem obtidos, porque o atacante responsável tomou muito cuidado para ofuscar seus métodos e excluir qualquer evidência reveladora.

 

Muitas vítimas descobriram que não conseguiam recuperar a operação rápido o suficiente para continuidade de negócios por conta própria e optaram por pagar pelo resgate. Especula-se que o malware já tenha rendido US$ 5,9 milhões, desde 2015, segundo estudos da Sophos e da Neutrino.

 

A Sophos suspeita que muitos desses ataques comecem com um comprometimento de uma máquina com a Área de Trabalho Remota dentro da rede. O invasor também é conhecido por explorar máquinas vulneráveis para execução remota de código. A preparação para o ataque é meticulosa. Cada ataque é uma invasão manual de uma rede segmentada.

 

Se o processo de criptografia for interrompido no meio do processo, um procedimento interno do malware detecta e executa um utilitário de exclusão, que limpa o código do SamSam, impedindo a recuperação forense.

 

“O ransomware definitivamente é uma das maiores ameaças hoje. Os ataques chegaram a um ponto crítico e não serão mais interrompidos pelos meios tradicionais. As empresas precisam implantar uma abordagem robusta com várias camadas de segurança, bem como ter equipes ativamente envolvidas no monitoramento de suas redes e reagir em tempo real a atividades suspeitas”, recomenda Mackenzie.

 

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...