Como impedir que hackers 'SamSam' iranianos tomem sua rede como resgate

By Yaron Kassner, CTO e cofundador, Silverfort

SamSam – parece fofo, certo? Bem, não é. SamSam é um destrutivo ransomware que afetou mais de 200 vítimas nos EUA, incluindo hospitais, governos municipais e outras organizações em 2018. Em 28 de novembro, o Departamento de Justiça dos EUA acusou dois cidadãos iranianos de crimes de pirataria informática relacionados com o surto global de ransomware SamSam. Os alegados criminosos estão actualmente no Irão, fora do alcance das autoridades dos EUA, e duvido que os dois suspeitos viajem para os EUA para serem interrogados. Também duvido que estes ataques parem. Portanto, é importante entender como funciona esse ataque e implementar algumas medidas de proteção.

Comprometendo o primeiro endpoint

SamSam tem como alvo computadores que estão abertos a desktops remotos da Internet. Encontrar esses endpoints é muito fácil: ferramentas gratuitas como Shodan pode fornecer uma lista dessas máquinas. Atualmente, existem 2,475,311 registros de desktops remotos abertos à Internet em Shodan. As senhas desses desktops podem ser hackeadas com ataques de força bruta ou simplesmente adquiridas na dark web. O aumento do uso de ambientes em nuvem coloca as organizações em risco, porque um administrador imprudente poderia facilmente expor uma máquina na nuvem sem proteger o acesso a ela pela Internet.

Aprofundando-se na rede

SamSam não criptografa apenas os arquivos de um único endpoint infectado. Depois que o endpoint é comprometido, o SamSam utiliza credenciais roubadas e explora vulnerabilidades como EternalBlue mover-se lateralmente pela rede. Utiliza “técnicas de alimentação da terra”, ou seja, ferramentas de administração existentes. Isso permite que o ransomware alcance servidores mais valiosos que contêm dados mais valiosos. Em vez de manter um computador como refém, ele assume o controle de toda a rede.

Os backups são frequentemente considerados um mecanismo de defesa para prevenção de ransomware. No entanto, a capacidade de se mover lateralmente na rede também permite que o SamSam alcance esses backups e os torne inúteis. Uma vítima cujos backups fossem criptografados teria que pagar o resgate ou perderia os dados.

Os custos de mitigação do SamSam excedem o pagamento do resgate

Até agora, os hackers ganharam mais de US$ 6 milhões em resgate. No entanto, os custos para as organizações afetadas são muito mais elevados, porque depois de pagarem o resgate e desbloquearem os seus ficheiros, também precisam de se certificar de que a ameaça foi completamente removida das suas redes. Quando a cidade de Atlanta foi infectada, eles gastaram um total de US$ 17 milhões em esforços para resolver o incidente, embora o resgate solicitado tenha sido muito menor do que isso.
Além dos custos do resgate, há o custo óbvio da interrupção infligida até que a ameaça seja removida. Talvez essa seja uma das razões pelas quais o malware está atacando tantos prestadores de serviços de saúde – eles não podem se dar ao luxo de cair.

Como proteger suas organizações do SamSam Ransomware?

• • Faça backup de seus dados off-line: Se você está contando com seus backups para salvá-lo do ransomware, você precisa ter certeza de que o invasor também não acessará seus backups. Lembre-se de que salvar seus backups na rede significa que eles estarão expostos a ransomware tanto quanto quaisquer outros dados na rede.
  • Identifique servidores de área de trabalho remota expostos na Internet: Encontre uma maneira de descobrir desktops remotos expostos na Internet. Uma área de trabalho remota exposta estará sujeita a um ataque de força bruta horas após a exposição na Internet. Portanto, uma boa maneira de identificar desktops remotos expostos à Internet é procurar ataques de força bruta. Silverfort pode ajudá-lo a fazer isso.
  • Proteja o acesso RDP aplicando Autenticação multi-fator – se você precisar expor uma área de trabalho remota à Internet, use uma VPN ou um host bastião. Isso impede o acesso direto da rede à máquina. Mas baseado em senha autenticação não é suficiente. Você também deve adicionar MFA para validar se as credenciais são realmente usadas por um usuário legítimo. Silverfort permite adicionar MFA a esses sistemas sem nenhum agente.
  • Evitar movimentos laterais - A aplicação da MFA no uso de ferramentas administrativas como o PSExec pode bloquear efetivamente esses ataques. No entanto, as soluções tradicionais de MFA não podem ser implementadas para tais ferramentas. Silverfort'S MFA sem agente plataformas também podem ser facilmente estendidas a essas ferramentas.
  • Proteja o acesso aos seus dados confidenciais – Aplicar MFA para qualquer acesso a recursos confidenciais, incluindo bancos de dados e compartilhamentos de arquivos.

Yaron Kassner, CTO e cofundador, Silverfort

SilverfortCTO e cofundador da Yaron Kassner é especialista em segurança cibernética e tecnologia de big data. Antes de co-fundar Silverfort, Yaron atuou como consultor especialista em big data para a Cisco. Ele também desenvolveu novos recursos envolvendo análise de big data e algoritmos de aprendizado de máquina na Microsoft. Antes disso, Yaron serviu na unidade cibernética de elite 8200 das Forças de Defesa de Israel, onde liderou uma respeitável equipe de P&D, foi elevado ao posto de Capitão e recebeu um prestigiado prêmio de excelência. Yaron possui um B.Sc. em Matemática, Summa Cum Laude, um M.Sc. e Ph.D. em Ciência da Computação pelo Technion – Instituto de Tecnologia de Israel.

Para descobrir como Silverfort pode proteger sua organização contra SamSam e outras ameaças, contacte-nos hoje.