Logo depois do Locky – uma nova variedade de ransomware – ter sido responsável por um ataque contra um hospital do Kentucky, EUA, uma nova família de ransomware, chamada de SAMSAM, foi descoberta visando novamente o setor de saúde. De acordo com as descobertas da Cisco Talos, o SAMSAM é instalado assim que os agressores exploram servidores vulneráveis, tornando-o único porque, diferente dos ransomware tradicionais, ele não depende de malvertising ou de técnicas de engenharia social, como anexos maliciosos em email, para ser baixado. Essa variante de malware parece ser distribuída por meio de servidores sem patch, utilizando-os para comprometer outras máquinas que os hackers usam para identificar sistemas de dados críticos para criptografar – visando principalmente o setor de assistência médica.
Os agressores estão utilizando o JexBoss, um servidor de aplicações de código aberto e outras plataformas de aplicações baseadas em Java, usando exploits para obter acesso shell remoto ao próprio servidor e instalar o SAMSAM no servidor de aplicações da web do alvo. O servidor infectado então é usado para propagar o cliente ransomware nas máquinas Windows, movendo-se lateralmente pela rede. Curiosamente, as vítimas conseguem se comunicar com os agressores e, como observado pela Cisco Talos, um diálogo permite que vítimas e perpetradores negociem os tipos de opção de pagamento disponíveis. Como foi visto em alguns exemplos, o preço é de 1,5 bitcoins para um sistema, com uma opção de decodificação em massa por 22 bitcoins para todos os sistemas infectados.
A variante de ransomware SAMSAM é remanescente de, ou baseada no SAMAS, uma família de crypto ransomware conhecida por criptografar arquivos não apenas do sistema que infecta como também arquivos em todas as redes, inclusive backups. Um alerta divulgado pelo FBI também avisou que os atores da ameaça SAMAS estão se aproveitando da capacidade do malware de “localizar e remover manualmente” os backups, coagindo as empresas a pagar o resgate ou sofrer perda de dados críticos. Esse tipo de ataque de ransomware se comporta quase como um ataque direcionado, onde um agressor escolhe seus alvos e têm um discreto controle sobre o que acontece, ao contrário das variantes de crypto ransomware mais comuns que são automatizadas.
Em notícias mais recentes, a campanha ininterrupta de ransomware contra o setor de saúde está insistindo para que o FBI chame especialistas urgentemente para agilizar a assistência emergencial em sua investigação sobre o ransomware. A Trend Micro continua a monitorar as atividades relacionadas aos ransomware SAMSAM e SAMAS.
As soluções de endpoint da Trend Micro como as Trend Micro™ Security, Smart Protection Suites e Worry-Free™ Business Security podem proteger usuários e empresas contra essa ameaça. Políticas de senhas rigorosas e desabilitar o carregamento automático de macros nos programas Office, juntamente com cronogramas de patching regulares também estão entre as maneiras testadas para manter longe os ransomware. E, apesar dessa tentativa da ameaça de inutilizar os backups de arquivos, essa ainda é uma defesa eficaz.
Além disso, o Trend Micro™ Deep Security fornece uma segurança de servidores avançada para servidores físicos, virtuais e em nuvem. Ele protege aplicações e dados empresariais contra violações e interrupções sem a necessidade de patching emergenciais. Essa plataforma abrangente e centralmente gerenciada ajuda a simplificar as operações de segurança, possibilitando a conformidade regulatória e o ROI de projetos de virtualização e nuvem.
É importante notar que para os backups, a regra de backup 3-2-1 ainda vale: o mínimo de três cópias de backup, de preferência em dois formatos diferentes, e uma dessas cópias armazenadas fora do local/air-gapped de sua rede.