SamSam: padrão diferenciado de ransomware desafia SI corporativa

Especialista afirma que malware pode trazer mais danos que os anteriores WannaCry e notPetya devido à sua característica manual, já que o invasor se esquiva dos recursos tradicionais de Segurança e apaga os rastros à medida que avança nas máquinas das vítimas

Compartilhar:

Em maio de 2017, o mundo conheceu melhor o impacto que um ataque cibernético em larga escala pode ocasionar para as organizações de todos os portes e segmentos. O WannaCry foi um divisor de águas para a Segurança da Informação, mas o aprendizado ainda não foi suficiente para conter os danos de uma nova onda de ciberataques no mês seguinte com o notPetya. No entanto, há indícios que um novo tipo de ransomware pode trazer ainda mais danos às organizações, colocando em xeque a segurança corporativa tradicional.

 

Descoberto inicialmente em 2015, o SamSam apresenta um padrão diferenciado dos ransomwares já divulgados. O método utilizado pelos cibercriminosos é surpreendentemente manual, contrastando com as outras ameaças que usam e-mails com cargas maliciosas como porta de acesso. Os atacantes invadem sistemas manualmente, escolhendo bem as vítimas e se esquivando dos sistemas de segurança.

 

“O dano do SamSam é visivelmente maior. Isso se deve à natureza controlada de um ataque manual, onde o atacante se certifica que arquivos e máquinas estão sendo criptografados e impede o processo de restauração a partir de backups”, explica Peter Mackenzie, gerente global de Escalonamento de Malware da Sophos no Reino Unido. Atualmente, ele é o principal pesquisador sobre o referido ransomware.

 

Segundo o especialista, o cibercriminoso por trás do SamSam está constantemente atualizando e melhorando o malware, não descartando a hipótese que este se propague em escala global. Até o momento, 74% das vítimas conhecidas estão nos Estados Unidos, mas já foram notificados casos no Canadá, Reino Unido e Oriente Médio.

 

Comparado com a maioria dos ransomwares, Mackenzie classifica o SamSam como difícil de identificar que o WannaCry e notPetya, justamente por esse caráter manual, em que o invasor vai limpando as evidências à medida que avança pelo sistema da vítima.

 

Detalhes

 

O SamSam apareceu pela primeira vez em dezembro de 2015. Algumas vítimas relataram um evento de ransomware generalizado que impactou significativamente as operações de algumas grandes organizações, incluindo hospitais, escolas e cidades. Os detalhes do ataque levaram algum tempo para serem obtidos, porque o atacante responsável tomou muito cuidado para ofuscar seus métodos e excluir qualquer evidência reveladora.

 

Muitas vítimas descobriram que não conseguiam recuperar a operação rápido o suficiente para continuidade de negócios por conta própria e optaram por pagar pelo resgate. Especula-se que o malware já tenha rendido US$ 5,9 milhões, desde 2015, segundo estudos da Sophos e da Neutrino.

 

A Sophos suspeita que muitos desses ataques comecem com um comprometimento de uma máquina com a Área de Trabalho Remota dentro da rede. O invasor também é conhecido por explorar máquinas vulneráveis para execução remota de código. A preparação para o ataque é meticulosa. Cada ataque é uma invasão manual de uma rede segmentada.

 

Se o processo de criptografia for interrompido no meio do processo, um procedimento interno do malware detecta e executa um utilitário de exclusão, que limpa o código do SamSam, impedindo a recuperação forense.

 

“O ransomware definitivamente é uma das maiores ameaças hoje. Os ataques chegaram a um ponto crítico e não serão mais interrompidos pelos meios tradicionais. As empresas precisam implantar uma abordagem robusta com várias camadas de segurança, bem como ter equipes ativamente envolvidas no monitoramento de suas redes e reagir em tempo real a atividades suspeitas”, recomenda Mackenzie.

 

Conteúdos Relacionados

Security Report | Destaques

“Para combater IA como vilã, a Segurança deve transformá-la em heroína”

Durante Painel de Debates no segundo dia do Security Leaders Nacional, os CISOs do Banco Mercantil, Hospital Sírio Libanês, LM...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo as prefeituras municipais de Uruguaiana e Pirajuí; o CEMIG; Polícia Militar...
Security Report | Destaques

Security Leaders destaca diversidade ao celebrar nova geração de Líderes de SI

Prêmio de Líder ressalta a inclusão no mercado de Cibersegurança, reunindo talentos de todas as regiões do Brasil e destacando...
Security Report | Destaques

Prêmio de Case | Indústria mostra avanço da maturidade cibernética no Brasil

O Security Leaders destacou os cases premiados na noite desta quinta-feira (5), histórias de sucesso que refletem o avanço da...