Identificati gli autori del ransomware SamSam

05/12/2018

malware ransomware SamSam


Secondo le recenti dichiarazioni del FBI, due uomini iraniani, Faramarz Shahi Savandi e Mohammad Mehdi Shah Mansouri sono stati accusati dal Dipartimento di Sicurezza statunitense per il loro ruolo nella creazione e distribuzione del famigerato ransomware SamSam che avrebbe consentito, in base a quanto riportato nel report di Sophos, di incassare un somma che lo scorso agosto era stata stimata per più di 6 milioni di dollari.

SamSam, a differenza di altri ransomware, non viene diffuso in modo globale sulla rete Internet, ma è pensato per concentrarsi su obiettivi ben precisi, come aziende, istituzioni pubbliche e in qualche caso ospedali. La logica è quella di puntare al bersaglio grosso, nella speranza di estorcere somme più importanti (dagli 8.000 ai 50.000 dollari per computer) e su un numero più ristretto di soggetti. Tra le vittime troviamo ad esempio l’amministrazione di Atlanta, il porto di San Diego o l’ospedale Hancock Health: quest’ultima, nello scorso gennaio, pare abbia pagato il riscatto ai pirati nonostante avesse un backup dei dati.

Con l’arresto dei due criminali, sono stati identificati due indirizzi bitcoin (1AjZPMsnmpdK2Rv9KQNfMurTXinscVro9V e 149w62rY42aZBox8fGcmqNsXUzSStKeq8C) a loro intestati che attualmente ammontano a 5.901 Bitcoin, pari a oltre 23 milioni di dollari.

Gli autori degli attacchi hanno colpito server Windows per guadagnare un accesso persistente sulla rete della vittima e infettare tutti gli host raggiungibili. I cyber criminali per portare a termine l’attacco hanno utilizzato i seguenti strumenti:

  • all’inizio del 2017,  il tool JexBoss Exploit Kit che sfrutta le vulnerabilità delle applicazioni JBoss;
  • a partire dalla metà del 2016, il protocollo RDP (Remote Desktop Protocol) attraverso attacchi di brute-force o utilizzando credenziali di accesso rubate.

Ottenuto l’accesso alla rete, attraverso meccanismi di privilege escalation, il malware SamSam punta ad ottenere i diritti di amministratore, quindi rilascia il payload sul server ed esegue un file eseguibile senza necessità che l’utente compia un’azione specifica e senza alcuna autorizzazione. Questo distingue SamSam da molte altre campagne ransomware che si basano su un’azione portata a termine dalla vittima/utente, come ad esempio l’apertura di una e-mail o il click su una URL che punta ad un sito web compromesso.

In base ad analisi effettuate sui PC delle vittime è stato scoperto che gli attori degli attacchi hanno acquistato molte delle credenziali RDP sui mercati presenti nelle darknet. Inoltre, dall’analisi dei log di accesso sui sistemi compromessi, si è scoperto che SamSam potrebbe infettare una rete entro poche ore dall’utilizzo delle credenziali RDP trafugate.

Come per tutti i ransomware, anche SamSam lascia un messaggio di riscatto sui computer cifrati per “permettere” alle vittime di stabilire un contatto con i criminali attraverso un sito esposto sulla rete TOR. Dopo aver stabilito il contatto e aver pagato il riscatto in Bitcoin, le vittime (solitamente) ricevono il link per scaricare le chiavi e i tools per decifrare i files.

Azioni di mitigazione

Il CERT-PA consiglia agli utenti e amministratori di sistema di prendere in considerazione l’utilizzo delle seguenti best practice per migliorare la sicurezza dei sistemi aziendali:

  • disabilitare il servizio RDP, se non necessario o installare le patch se disponibili, verificando preventivamente che queste non impattino sulle funzionalità dei sistemi;
  • verificare che tutte le istanze di macchine virtuali esposte con IP pubblico non abbiano porte RDP aperte;
  • permettere l’accesso al protocollo RDP esclusivamente mediante l’utilizzo di una VPN evitandone l’utilizzo sui sistemi critici;
  • abilitare il meccanismo di logging sulle connessioni RDP, conservando i file log per almeno 90 giorni;
  • utilizzare password robuste e utilizzare preferibilmente l’autenticazione a due fattori;
  • mantenere sempre abilitata sul sistema operativo, la funzionalità UAC (Controllo Account Utente), ove presente, per limitare attacchi di privilege escalation;
  • utilizzare filtri anti-spam sul server di posta;
  • disabilitare i servizi di condivisione di file e stampanti, se non necessari, altrimenti utilizzare meccanismi di strong authentication.

Indicatori di compromissione

  • IoC (.txt) – File globale :   Domini, hash files (SHA1, MD5 e SHA256), URLs, IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr