Come bloccare il ransomware SamSam

Sebbene la maggior parte del danno inflitto dal ransomware sia il risultato di attacchi non mirati, diffusi usando software come Locky e GlobaImposter, stanno aumentando gli attacchi mirati, devastanti proprio come quelli dei cecchini.

In un attacco mirato i criminali selezionano un’organizzazione vulnerabile e adattano il loro approccio per causare il massimo del danno e dei disservizi. Lavorando in questo modo, i criminali sono in grado di minimizzare la loro esposizione mentre estorcono un alto riscatto.

Uno strumento popolare per gli hacker che lavorano in questo modo è il ransomware SamSam, noto anche come Samas.

Gli attacchi di SamSam sono relativamente rari e sembrano focalizzati sui settori sanitario, amministrativo e dell’istruzione. Non ci sono due attacchi uguali anche se tra loro ci sono elementi comuni. La configurazione del software SamSam e le richieste di riscatto variano da una vittima all’altra arrivando a sfiorare i $ 60.000.

Solo nel 2018 gli indirizzi bitcoin associati a SamSam hanno ricevuto oltre 1 milione di dollari in pagamenti di riscatto.

A causa della natura degli attacchi, i dettagli precisi sono scarsi. I SophosLabs hanno indagato su quelli più recenti e hanno scoperto nuove informazioni su come il ransomware si è evoluto negli ultimi mesi. Per ulteriori dettagli su questo vi consigliamo di consultare il nostro white paper “Il ransomware SamSam sceglie attentamente i suoi obiettivi”.

Rimanere protetti

Anche se l’approccio degli hacker varia da un obiettivo all’altro, facendo leva sulle loro specifiche debolezze, ci sono thread comuni a cui vale la pena prestare particolare attenzione.

1. Chiudete la porta

Gli attacchi di SamSam iniziano spesso con gli aggressori che sfruttano password deboli su account RDP, quindi:

• Se non vi serve l’RDP, spegnetelo.
• Assicuratevi che gli utenti abbiano password efficaci
• Abilitate l’autenticazione a 2 fattori (2FA) quando potete.
• Accettate connessioni RDP solo da computer autorizzati
• Configurate una policy di blocco per limitare il numero di tentativi delle password

2. Risolvete eventuali falle

Si ritiene inoltre che gli aggressori di SamSam abbiano ottenuto l’accesso alle reti degli obiettivi sfruttando le vulnerabilità di Java e i sistemi JBoss senza patch, utilizzando vulnerabilità quali: CVE-2010-0738, CVE-2012-0874 e CVE-2010-1428.

Ovviamente è ragionevole presumere che gli hacker SamSam sfrutteranno qualsiasi vulnerabilità rivolta al pubblico che serva ai loro scopi, quindi questo non è un elenco completo – si applica il consueto consiglio di rimanere aggiornati sulle patch.

3. Mantenete ogni cosa pulita e in ordine

Se un utente malintenzionato accede alla rete, arrestare l’attacco è raramente una semplice questione di rilevamento di un singolo file, ovviamente dannoso. Molti degli strumenti utilizzati negli attacchi SamSam sono utilizzati proprio perché sono pezzi legittimi di software già presenti nella rete, come PsExec, Powershell, WScript o CScript.

Se si è un cliente Sophos, è possibile utilizzare Application Control per configurare l’accesso dell’organizzazione alle applicazioni legittime, assicurando, ad esempio, che gli amministratori che hanno bisogno di PowerShell abbiano accesso ad esso e gli utenti normali no.

SamSam è stato visto usare PsExec per diffondersi attraverso le reti. Per impostazione predefinita, PsExec viene rilevato dai nostri prodotti come un’applicazione potenzialmente indesiderata (PUA) e verrà bloccato.

Gli amministratori devono accertarsi che la scansione PUA sia abilitata e che PsExec non sia stato aggiunto all’elenco autorizzato. Se è necessario utilizzare PsExec, è possibile autorizzarlo solo per gli utenti che ne hanno bisogno e quindi revocare l’autorizzazione al termine.

4. Prendetevi un buon cane da guardia (o due)

Ogni livello di sicurezza che possedete è progettato per un diverso tipo di minaccia e una strategia di difesa in profondità che impiega più livelli sovrapposti di protezione è, come sempre, l’approccio migliore.

Sophos Endpoint e Server blocca le versioni correnti di SamSam come Troj / Samas-F, Troj / RansRun-A e Mal / Kryptik-BV.

I clienti con Intercept X o Exploit Prevention sono protetti contro SamSam dalla nostra soluzione anti-ransomware CryptoGuard.

Per i clienti con licenze Central Server Advanced, Server Lockdown (allowlisting) può essere implementato per rafforzare i server contro modifiche non autorizzate.

I clienti che utilizzano Sophos Central in combinazione con XG Firewall, possono utilizzare la funzione Security Heartbeat ™, che consente agli endpoint di comunicare con il firewall, per creare policy che isolano automaticamente una macchina se viene riportato un rilevamento, contenendo così rapidamente qualsiasi minaccia.