En lugar de utilizar técnicas de envió masivo de spam para distribuir el malware a millones de destinatarios con la esperanza de recaudar miles de dólares de cada uno de las víctimas dispersas por todo el mundo, los SamSammers utilizaron un enfoque más preciso.

Identificaron listas de redes en las que sabían que había un agujero de seguridad, como un portal de acceso remoto con una contraseña fácil de adivinar, y eligieron sólo una red a la vez para atacar.

Al codificar cientos de ordenadores en una sola red al mismo tiempo, a menudo, irónicamente, empleando el mismo tipo de técnicas de administración de sistemas que un empleado de TI legítimo podría utilizar para distribuir una actualización de software genuina, los ciberdelincuentes generalmente terminaron en una posición muy fuerte desde la que extorsionar dinero.

Según un artículo publicado por The Wired, los fiscales federales de Estados Unidos han indicado a estas personas que han sido desplegadas el famoso ransomware SamSam y Sophos ha estado rastreando este y otros ataques similares de ransomware durante un tiempo.

Chester Wisniewski, principal investigador científico de Sophos, describe este enfoque centrado en el ser humano para tener éxito, y los creadores del ramsomware SamSam han recolectado un estimado de 6.5 millones de dólares en el transcurso de casi 3 años. Los ataques ocurrieron estratégicamente cuando las víctimas estaban dormidas, lo que indica que el atacante realiza un reconocimiento de las víctimas y planifica cuidadosamente quién, qué, dónde y cuándo se producirán los ataques. En estos ataques, los ciberdelincuentes se dirigen realizando ataques de fuerza bruta a puntos débiles de entradas y contraseñas en el Protocolo de Escritorio Remoto (RDP). Una vez dentro, se mueven de forma lateral, trabajando paso a paso para robar las credenciales de administrador de dominio, manipular los controles internos, deshabilitar las copias de seguridad y mucho más para realizar la infección de ransomware. Cuando la mayoría de los administradores de TI se dan cuenta de lo que está sucediendo, es demasiado tarde y el daño ya está hecho. Otros ciberdelincuentes han tomado nota, y se esperan más ataques similares en el 2019.

Basándonos en la investigación de Sophos, sospechamos que se trataba de un pequeño grupo de personas por el grado de seguridad operativa que empleaban. No eran fanfarrones o ruidosos en los foros de la Deep Web como es típico de muchos aficionados. Algunos de los tics gramaticales y de puntuación que Sophos vio pueden deberse a que los creadores de la amenaza no son hablantes nativos de inglés. La zona horaria es de Teherán GMT+3:30 y eso puede haber sido evidente en los tiempos de compilación de las muestras del malware que analizamos, y las horas de trabajo de los ciberdelincuentes que realizarón los ataques consistentes con esa zona horaria. El informe de Sophos sobre SamSam y el informe de amenazas del 2019 explican de forma bien detallada como trabajaron sus ataques. Su TTP era único y empleaba algunas medidas de protección muy intrigantes que evolucionaron con el tiempo. Lamentablemente, han inspirado toda una nueva generación de ataques que están usando el mismo libro de jugadas contra organizaciones grandes y medianas. “Sophos detalla los pasos inmediatos que las empresas deben tomar en sus informes sombre SamSam y el informe de amenazas del 2019 de SophosLabs, no solo porque estos ciberdelincuentes todavía están huyendo, sino porque han inspirado a otros a seguir sus pasos” dice Winniewski.

Esto demuestra que ninguna cantidad de código malicioso, operadores encubiertas y criptomoneda pone a un criminal más allá de nuestra capacidad de identificar y presentar cargos por robo y extorsión de dinero de personas inocentes. Al identificar las billeteras de Bitcoin asociadas con esta actividad criminal, esencialmente las han marcado como veneno. Cualquier persona que intente ayudar a lavar esas criptomonedas y ayudar a convertirlas en dinero real será un accesorio de los delitos que supuestamente se cometieron.

También puedes leer: Sophos proporciona información sobre las tendencias emergentes en el Informe de amenazas 2019

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *