Artigo - SamSam: padrão diferenciado de ransomware desafia SI corporativa

Especialista afirma que malware pode trazer mais danos que os anteriores WannaCry e notPetya devido à sua característica manual, já que o invasor se esquiva dos recursos tradicionais de Segurança e apaga os rastros à medida que avança nas máquinas das vítimas

Em maio de 2017, o mundo conheceu melhor o impacto que um ataque cibernético em larga escala pode ocasionar para as organizações de todos os portes e segmentos. O WannaCry foi um divisor de águas para a Segurança da Informação, mas o aprendizado ainda não foi suficiente para conter os danos de uma nova onda de ciberataques no mês seguinte com o notPetya. No entanto, há indícios que um novo tipo de ransomware pode trazer ainda mais danos às organizações, colocando em xeque a segurança corporativa tradicional.

Descoberto inicialmente em 2015, o SamSam apresenta um padrão diferenciado dos ransomwares já divulgados. O método utilizado pelos cibercriminosos é surpreendentemente manual, contrastando com as outras ameaças que usam e-mails com cargas maliciosas como porta de acesso. Os atacantes invadem sistemas manualmente, escolhendo bem as vítimas e se esquivando dos sistemas de segurança.

“O dano do SamSam é visivelmente maior. Isso se deve à natureza controlada de um ataque manual, onde o atacante se certifica que arquivos e máquinas estão sendo criptografados e impede o processo de restauração a partir de backups”, explica Peter Mackenzie, gerente global de Escalonamento de Malware da Sophos no Reino Unido. Atualmente, ele é o principal pesquisador sobre o referido ransomware.

Segundo o especialista, o cibercriminoso por trás do SamSam está constantemente atualizando e melhorando o malware, não descartando a hipótese que este se propague em escala global. Até o momento, 74% das vítimas conhecidas estão nos Estados Unidos, mas já foram notificados casos no Canadá, Reino Unido e Oriente Médio.

Comparado com a maioria dos ransomwares, Mackenzie classifica o SamSam como difícil de identificar que o WannaCry e notPetya, justamente por esse caráter manual, em que o invasor vai limpando as evidências à medida que avança pelo sistema da vítima.

Detalhes

O SamSam apareceu pela primeira vez em dezembro de 2015. Algumas vítimas relataram um evento de ransomware generalizado que impactou significativamente as operações de algumas grandes organizações, incluindo hospitais, escolas e cidades. Os detalhes do ataque levaram algum tempo para serem obtidos, porque o atacante responsável tomou muito cuidado para ofuscar seus métodos e excluir qualquer evidência reveladora.

Muitas vítimas descobriram que não conseguiam recuperar a operação rápido o suficiente para continuidade de negócios por conta própria e optaram por pagar pelo resgate. Especula-se que o malware já tenha rendido US$ 5,9 milhões, desde 2015, segundo estudos da Sophos e da Neutrino.

A Sophos suspeita que muitos desses ataques comecem com um comprometimento de uma máquina com a Área de Trabalho Remota dentro da rede. O invasor também é conhecido por explorar máquinas vulneráveis para execução remota de código. A preparação para o ataque é meticulosa. Cada ataque é uma invasão manual de uma rede segmentada.

Se o processo de criptografia for interrompido no meio do processo, um procedimento interno do malware detecta e executa um utilitário de exclusão, que limpa o código do SamSam, impedindo a recuperação forense.

“O ransomware definitivamente é uma das maiores ameaças hoje. Os ataques chegaram a um ponto crítico e não serão mais interrompidos pelos meios tradicionais. As empresas precisam implantar uma abordagem robusta com várias camadas de segurança, bem como ter equipes ativamente envolvidas no monitoramento de suas redes e reagir em tempo real a atividades suspeitas”, recomenda Mackenzie.