By Yaron Kassner, CTO e cofundador, Silverfort
SamSam – parece fofo, certo? Bem, não é. SamSam é um destrutivo ransomware que afetou mais de 200 vítimas nos EUA, incluindo hospitais, governos municipais e outras organizações em 2018. Em 28 de novembro, o Departamento de Justiça dos EUA acusou dois cidadãos iranianos de crimes de pirataria informática relacionados com o surto global de ransomware SamSam. Os alegados criminosos estão actualmente no Irão, fora do alcance das autoridades dos EUA, e duvido que os dois suspeitos viajem para os EUA para serem interrogados. Também duvido que estes ataques parem. Portanto, é importante entender como funciona esse ataque e implementar algumas medidas de proteção.
Comprometendo o primeiro endpoint
SamSam tem como alvo computadores que estão abertos a desktops remotos da Internet. Encontrar esses endpoints é muito fácil: ferramentas gratuitas como Shodan pode fornecer uma lista dessas máquinas. Atualmente, existem 2,475,311 registros de desktops remotos abertos à Internet em Shodan. As senhas desses desktops podem ser hackeadas com ataques de força bruta ou simplesmente adquiridas na dark web. O aumento do uso de ambientes em nuvem coloca as organizações em risco, porque um administrador imprudente poderia facilmente expor uma máquina na nuvem sem proteger o acesso a ela pela Internet.
Aprofundando-se na rede
SamSam não criptografa apenas os arquivos de um único endpoint infectado. Depois que o endpoint é comprometido, o SamSam utiliza credenciais roubadas e explora vulnerabilidades como EternalBlue mover-se lateralmente pela rede. Utiliza “técnicas de alimentação da terra”, ou seja, ferramentas de administração existentes. Isso permite que o ransomware alcance servidores mais valiosos que contêm dados mais valiosos. Em vez de manter um computador como refém, ele assume o controle de toda a rede.
Os backups são frequentemente considerados um mecanismo de defesa para prevenção de ransomware. No entanto, a capacidade de se mover lateralmente na rede também permite que o SamSam alcance esses backups e os torne inúteis. Uma vítima cujos backups fossem criptografados teria que pagar o resgate ou perderia os dados.
Os custos de mitigação do SamSam excedem o pagamento do resgate
Até agora, os hackers ganharam mais de US$ 6 milhões em resgate. No entanto, os custos para as organizações afetadas são muito mais elevados, porque depois de pagarem o resgate e desbloquearem os seus ficheiros, também precisam de se certificar de que a ameaça foi completamente removida das suas redes. Quando a cidade de Atlanta foi infectada, eles gastaram um total de US$ 17 milhões em esforços para resolver o incidente, embora o resgate solicitado tenha sido muito menor do que isso.
Além dos custos do resgate, há o custo óbvio da interrupção infligida até que a ameaça seja removida. Talvez essa seja uma das razões pelas quais o malware está atacando tantos prestadores de serviços de saúde – eles não podem se dar ao luxo de cair.
Como proteger suas organizações do SamSam Ransomware?
-
- Faça backup de seus dados off-line: Se você está contando com seus backups para salvá-lo do ransomware, você precisa ter certeza de que o invasor também não acessará seus backups. Lembre-se de que salvar seus backups na rede significa que eles estarão expostos a ransomware tanto quanto quaisquer outros dados na rede.
- Identifique servidores de área de trabalho remota expostos na Internet: Encontre uma maneira de descobrir desktops remotos expostos na Internet. Uma área de trabalho remota exposta estará sujeita a um ataque de força bruta horas após a exposição na Internet. Portanto, uma boa maneira de identificar desktops remotos expostos à Internet é procurar ataques de força bruta. Silverfort pode ajudá-lo a fazer isso.
- Proteja o acesso RDP aplicando Autenticação multi-fator – se você precisar expor uma área de trabalho remota à Internet, use uma VPN ou um host bastião. Isso impede o acesso direto da rede à máquina. Mas baseado em senha autenticação não é suficiente. Você também deve adicionar MFA para validar que as credenciais são de fato usadas por um usuário legítimo. Silverfort permite adicionar MFA a esses sistemas sem nenhum agente.
- Evitar movimentos laterais - A aplicação do MFA no uso de ferramentas administrativas como o PSExec pode bloquear efetivamente tais ataques. No entanto, os ataques tradicionais Soluções de AMF não pode ser implementado para tais ferramentas. Silverfort'S MFA sem agente plataformas também podem ser facilmente estendidas a essas ferramentas.
- Proteja o acesso aos seus dados confidenciais – Aplicar MFA para qualquer acesso a recursos confidenciais, incluindo bancos de dados e compartilhamentos de arquivos.
Yaron Kassner, CTO e cofundador, Silverfort
SilverfortCTO e cofundador da Yaron Kassner é especialista em segurança cibernética e tecnologia de big data. Antes de co-fundar Silverfort, Yaron atuou como consultor especialista em big data para a Cisco. Ele também desenvolveu novos recursos envolvendo análise de big data e algoritmos de aprendizado de máquina na Microsoft. Antes disso, Yaron serviu na unidade cibernética de elite 8200 das Forças de Defesa de Israel, onde liderou uma respeitável equipe de P&D, foi elevado ao posto de Capitão e recebeu um prestigiado prêmio de excelência. Yaron possui um B.Sc. em Matemática, Summa Cum Laude, um M.Sc. e Ph.D. em Ciência da Computação pelo Technion – Instituto de Tecnologia de Israel.
Para descobrir como Silverfort pode proteger sua organização contra SamSam e outras ameaças, contacte-nos hoje.