Cómo evitar que los piratas informáticos iraníes 'SamSam' tomen su red para pedir rescate

By Yaron Kassner, CTO y cofundador, Silverfort

SamSam – suena lindo, ¿verdad? Bueno, no lo es. SamSam es un destructivo ransomware que afectó a más de 200 víctimas en todo Estados Unidos, incluidos hospitales, gobiernos municipales y otras organizaciones en 2018. El 28 de noviembre, el Departamento de Justicia de Estados Unidos acusó a dos ciudadanos iraníes de delitos de piratería informática en relación con el brote global de ransomware SamSam. Los presuntos criminales se encuentran actualmente en Irán, fuera del alcance de las autoridades estadounidenses, y dudo que los dos sospechosos viajen a Estados Unidos para ser interrogados. También dudo que estos ataques cesen. Por eso, es importante comprender cómo opera este ataque e implementar algunas medidas de protección.

Comprometer el primer punto final

SamSam se dirige a computadoras que están abiertas a escritorios remotos desde Internet. Encontrar dichos puntos finales es muy fácil: herramientas gratuitas como Shodan puede proporcionar una lista de dichas máquinas. A día de hoy, hay 2,475,311 registros de escritorios remotos abiertos a Internet en Shodan. Las contraseñas de estos escritorios pueden piratearse con ataques de fuerza bruta o simplemente comprarse en la web oscura. El mayor uso de entornos de nube pone en riesgo a las organizaciones, porque un administrador imprudente podría exponer fácilmente una máquina en la nube sin proteger el acceso a ella desde Internet.

Profundizando en la red

SamSam no solo cifra los archivos de un único punto final infectado. Una vez que el punto final se ve comprometido, SamSam utiliza credenciales robadas y explota vulnerabilidades como EternalBlue para moverse lateralmente a través de la red. Utiliza “técnicas de alimentación de la tierra”, es decir, herramientas de administración existentes. Esto permite que el ransomware llegue a servidores más valiosos que contienen datos más valiosos. En lugar de mantener como rehén a una computadora, se apodera de toda la red.

A menudo se piensa que las copias de seguridad son un mecanismo de defensa para prevención de ransomware. Sin embargo, la capacidad de moverse lateralmente en la red también permite a SamSam llegar a estas copias de seguridad e inutilizarlas. Una víctima cuyas copias de seguridad estuvieran cifradas tendría que pagar el rescate o perdería los datos.

Los costos de mitigación de SamSam superan el pago del rescate

Hasta ahora, los piratas informáticos obtuvieron más de 6 millones de dólares en rescate. Sin embargo, los costos para las organizaciones afectadas son mucho mayores, porque después de pagar el rescate y desbloquear sus archivos, también deben asegurarse de que la amenaza se elimine por completo de sus redes. Cuando la ciudad de Atlanta fue infectada, gastaron un total de 17 millones de dólares en esfuerzos para resolver el incidente, a pesar de que el rescate solicitado fue mucho menor.
Además de los costos del rescate, está el costo obvio de la interrupción infligida hasta que se elimine la amenaza. Quizás esa sea una de las razones por las que el malware está atacando a tantos proveedores de atención médica: no pueden permitirse el lujo de dejar de funcionar.

¿Cómo proteger sus organizaciones de SamSam Ransomware?

• • Haga una copia de seguridad de sus datos sin conexión: Si cuenta con sus copias de seguridad para salvarlo del ransomware, debe asegurarse de que el atacante no acceda también a sus copias de seguridad. Tenga en cuenta que guardar sus copias de seguridad en la red significa que están expuestas al ransomware tanto como cualquier otro dato en la red.
  • Identifique los servidores de escritorio remoto que están expuestos a través de Internet: Encuentre una manera de descubrir escritorios remotos que están expuestos a través de Internet. Un escritorio remoto expuesto estará sujeto a un ataque de fuerza bruta pocas horas después de la exposición a través de Internet. Por lo tanto, una buena manera de identificar escritorios remotos expuestos a Internet es buscar ataques de fuerza bruta. Silverfort puede ayudarte a hacer eso.
  • Proteja el acceso a RDP haciendo cumplir Autenticación de múltiples factores – si tiene que exponer un escritorio remoto a Internet, utilice una VPN o un host bastión. Estos impiden el acceso directo a la red de la máquina. Pero basado en contraseña autenticación no es suficiente. También debe agregar MFA para validar que las credenciales sean efectivamente utilizadas por un usuario legítimo. Silverfort le permite agregar MFA a estos sistemas sin ningún agente.
  • Prevenir el movimiento lateral – Hacer cumplir MFA en el uso de herramientas administrativas como PSExec puede bloquear eficazmente dichos ataques. Sin embargo, las soluciones tradicionales de MFA no se pueden implementar para dichas herramientas. Silverfort, MFA sin agente Las plataformas también se pueden extender fácilmente a estas herramientas.
  • Proteja el acceso a sus datos confidenciales – Aplique MFA para cualquier acceso a recursos confidenciales, incluidas bases de datos y archivos compartidos.

Yaron Kassner, CTO y cofundador, Silverfort

SilverfortCTO y cofundador de Yaron Kassner es un experto en ciberseguridad y tecnología de big data. Antes de cofundar Silverfort, Yaron se desempeñó como consultor experto en big data para Cisco. También desarrolló nuevas capacidades que involucran análisis de big data y algoritmos de aprendizaje automático en Microsoft. Antes de eso, Yaron sirvió en la unidad cibernética de élite 8200 de las Fuerzas de Defensa de Israel, donde dirigió un equipo de investigación y desarrollo de buena reputación, ascendió al rango de Capitán y recibió un prestigioso premio a la excelencia. Yaron tiene un B.Sc. en Matemáticas, Summa Cum Laude, M.Sc. y doctorado. en Ciencias de la Computación del Technion – Instituto de Tecnología de Israel.

Para descubrir como Silverfort puede proteger su organización contra SamSam y otras amenazas, póngase en contacto con nosotros.