Ciberseguridad
Ransomware

Los pagos del 'ransomware' SamSam superan los 6 millones de dólares

Una investigación realizada por Sophos desvela que la campaña de 'ransomware' SamSam ha generado ya más de 6 millones de dólares en ganancias ilegales, con el aliciente de que el ritmo de la campaña no hace más que incrementar.

Ransomware SamSam by Sophos

Como desvela la compañía Sophos, empresa que ha estudiado a fondo su método de ataque y su funcionamiento, el ransomware actúa de manera que encripta todos los discos duros a los que puede acceder en aquellos instantes en los que el número de administradores de TI o personal de SoC no se encuentra operativo. Las víctimas encuentran pocos o ningún rastro de infección, a parte de una nota de rescate que exige pagos superiores a los 60.000 dólares en Bitcoin, así como enlaces a un sistema de chat de atención al cliente de DarkWeb que le ofrece a la víctima la oportunidad de intercambiar mensajes de texto con el atacante.  

"A diferencia de prácticamente cualquier otro ataque de ransomware, todo el proceso de ataque es manual. El culpable es un correo no deseado mal redactado con un archivo adjunto. El atacante rompe a la vieja usanza: utilizando herramientas que intentan tantos inicios de sesión tan rápido como el protocolo de escritorio remoto permitirá, y explota las vulnerabilidades del sistema operativo, aunque no tanto como cabría pensar. SamSam generalmente tiene éxito cuando la víctima elige una contraseña débil y fácil de adivinar ", escribieron los investigadores en su informe.

SamSam apareció a finales de 2015, con una variante conocido como CryptoWall y nuevos modelos comerciales de ransomware-as-a-service. El vector de ataque de este nuevo ransomware emplea una combinación de antiguos ataques de fuerza bruta y exploits destinados a tomar el control de una sola máquina en la red de una víctima concreta, antes de tomar el control de una máquina de administrador de dominio. El atacante lo lanza hacia cada una de las estaciones de trabajo que forman parte de un dominio LAN y lo ejecuta de manera simultánea. Sophos destaca que un sistema de prioridad de varios niveles asegura que el ransomware encripte primero los datos más valioso, para posteriormente hacer lo mismo con todo lo demás que no está en una lista de archivos relacionados con el sistema operativo Windows. La comunicación y el pago se llevan a cabo a través de la red Tor y de Bitcoin para garantizar la seguridad y la imposibilidad de ser rastreados. El atacante inicia los ataques utilizando una combinación de herramientas de administrador de red comerciales, gratuitas y de código abierto.

Como sucede con muchos otros ataques de ransomware, las víctimas no divulgan o reconocen públicamente que se haya producido un ataque, aunque el registro de transacciones de Bitcoin muestra que una víctima ha pagado el rescate. Así es posible saber a día de hoy que SamSam ha recibido casi 6 millones de dólares en ingresos de rescate desde que apareciera en escena hace ya 32 meses. Una de cada cuatro víctimas han pagado el rescate en lugar de tratar de recuperarse con las copias de seguridad. La compañía destaca en su blog que salen a la luz nuevas víctimas casi todas las semanas.

El informe SamSam: The Almost Six Million Dollar Malware, elaborado por Sophos, es el resultado de más de seis meses de trabajo de un equipo de analistas de SophosLabs, ingenieros y personal de soporte de la compañía.  

Sophos también determina que el ransomware SamSam se dirige principalmente a compañías de Estados Unidos, con un porcentaje del 74%, seguido de Reino Unido (8%), Bélgica (6$), Canadá (5%) y Australia (2%).

 


TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper