Poco después de que se reportara que Locky – una nueva familia de ransomware – fuera responsable de un ataque a un hospital de Kentucky, en Estados Unidos, se descubrió una nueva familia llamada SAMSAM que ataca nuevamente a la industria de la salud. De acuerdo con los hallazgos de Cisco Talos, SAMSAM se instala una vez que los atacantes logran penetrar a servidores vulnerables, lo que lo hace único ya que a diferencia del ransomware tradicional, no depende del malvertising o de las técnicas de ingeniería social como los archivos maliciosos de correo electrónica, para propagarse. Al parecer esta variante en particular se distribuye a través de servidores sin parchar y los utiliza para comprometer máquinas adicionales que los hackers utilizan para identificar sistemas de datos clave que encriptar, atacando principalmente a la industria de la salud.
Los atacantes están aprovechando JexBoxx, un servidor de aplicaciones de código abierto, y otras plataformas de aplicaciones basadas en Java, usando explotaciones para tener acceso remoto al servidor e instalar SAMSAM en el servidor de aplicaciones Web atacado. El servidor infectado se utiliza entonces para propagar el cliente de ransomware a las máquinas Windows moviéndose lateralmente por la red. Lo que llama la atención es que las víctimas pueden comunicarse con los atacantes, y, según observó Cisco Talos, un cuadro de diálogo permite que las víctimas y el perpetrador negocien las opciones de pago disponibles. Como se puede ver en algunos ejemplos, se está ofreciendo un precio de 1.5 bitcoin para un solo sistema, o una opción para la desencripción en volumen de 22 bitcoins para liberar a todos los sistemas infectados.
La variante SAMSAM es una reminiscencia de una familia de crypto-ransomware, o basada en SAMAS, conocida por su capacidad de encriptar archivos no sólo el sistema que infecta sino también los archivos de las redes, incluyendo los respaldos almacenados en ellas. El FBI emitió una alerta que también advertía que los autores de SAMAS también se están aprovechando de la capacidad del malware de “localizar y eliminar manualmente” los respaldos, orillando a las empresas a pagar o de lo contrario sufrirán una pérdida de datos críticos. Este tipo de ataque de ransmoware se comporta de forma muy similar a un ataque dirigido, donde el atacante elige a sus objetivos y tiene el control discreto de lo que sucede, contrario a las variantes de crypto-ransomware más común que son automáticas.
En noticias más recientes, la campaña constante de ransmoware contra la industria de la salud está urgiendo al FBI de convocar a expertos en seguridad para apresurar la ayuda de emergencia en su investigación del ransomware. Trend Micro continúa monitoreando las actividades alrededor del ransomware SAMSAM y SAMAS.
Las soluciones de Trend Micro como Trend Micro™ Security, Smart Protection Suites y Worry-Free™ Business Security puede proteger a los usuarios y empresas contra esta amenaza. El uso de contraseñas robustas y la desactivación de la carga automática de macros de los programas de Office, junto con calendarios regulares de parcheo, también se cuentan entre las maneras válidas y probadas de mantener a raya el ransomware. Y a pesar del intento de esta amenaza de inutilizar los archivos de respaldo, siguen siendo una defensa efectiva.
Además, Trend Micro™ Deep Security ofrece seguridad avanzada para servidores físicos, virtuales y de nube. Protege las aplicaciones y los datos empresariales de las brechas y de las interrupciones sin la necesidad de aplicar parches de emergencia. Esta plataforma completa que se gestiona centralmente ayuda a simplificar las operaciones de seguridad, al tiempo de permitir el cumplimiento regulatorio y acelerar el retorno de la inversión (ROI) de los proyectos de virtualización y de nube.
Sin embargo, es importante tener en cuenta que sigue aplicándose la regla del 3-2-1 para los respaldos: tres copias de respaldo como mínimo, preferiblemente en dos formatos distintos, y que una de esas copias esté almacenada fuera/lejos de su red.
Leave a Reply