Il ransomware SamSam si è distinto negli ultimi anni come una delle minacce informatiche più insidiose e dannose, causando perdite per oltre 30 milioni di dollari a istituzioni quali ospedali, scuole e altre entità.
La peculiarità di SamSam risiede nella sua metodologia di attacco: diversamente dalla maggior parte dei ransomware che proliferano attraverso massicce campagne di phishing, SamSam opera attraverso incursioni mirate, sottolineando la sua singolarità nel panorama delle minacce cibernetiche.

samsam ransomware

Le origini della minaccia

SamSam ransomware è stato identificato per la prima volta nel 2015.
Da allora, si è evoluto diventando noto per i suoi attacchi mirati e per la capacità di causare danni significativi a organizzazioni, ospedali, scuole e altre entità. La sua metodologia di attacco differisce da quella di altri ransomware più comuni, in quanto gli attaccanti di SamSam selezionano con cura le loro vittime e spesso eseguono il malware manualmente dopo aver ottenuto l’accesso ai sistemi tramite vulnerabilità specifiche o credenziali rubate.

Caratteristiche distintive di SamSam ransomware

Attacchi mirati

Contrariamente ad altri ransomware che si affidano a tecniche di diffusione di massa, SamSam si caratterizza per i suoi attacchi estremamente mirati.
Gli aggressori infiltrano specifiche reti, analizzano la situazione e poi eseguono manualmente il malware. Questo approccio su misura per le vittime designa una capacità di causare danni significativi, con richieste di riscatto che raggiungono cifre milionarie.

Impatto finanziario e sociale

L’impatto di SamSam va ben oltre il danno finanziario diretto.
Le istituzioni colpite, come ospedali e scuole, svolgono funzioni essenziali per la società. Interruzioni e perdite di dati possono avere conseguenze devastanti sulla capacità di queste entità di fornire servizi critici, sottolineando la gravità di tali attacchi.

Come si diffonde il ransomware SamSam?

SamSam ransomware si diffonde in modo unico rispetto alla maggior parte dei ransomware tradizionali. Invece di affidarsi a tecniche di ingegneria sociale, email di phishing o allegati malevoli per infiltrarsi nei sistemi delle vittime, SamSam mira direttamente alle vulnerabilità delle reti organizzative. Ecco i principali metodi di diffusione:

  1. Accesso Remoto Desktop Protocol (RDP)
    Gli operatori di SamSam sfruttano spesso le connessioni RDP esposte, utilizzando attacchi di forza bruta per indovinare le password deboli o utilizzando credenziali di accesso precedentemente rubate. Questo metodo consente loro di guadagnare l’accesso al sistema della vittima con poche o nessuna interazione da parte dell’utente.
  2. Sfruttamento di vulnerabilità
    SamSam cerca attivamente vulnerabilità nei software o nei sistemi operativi delle organizzazioni target.
    Una volta identificata una vulnerabilità, il malware viene iniettato nel sistema, consentendo agli attaccanti di prendere il controllo e di diffondere il ransomware all’interno della rete.
  3. Acquisto di credenziali sul dark web
    Gli attaccanti dietro SamSam spesso acquistano credenziali di accesso al RDP da mercati del dark web.
    Queste credenziali sono state compromesse in precedenti violazioni di dati o tramite campagne di phishing.
    Acquistando queste credenziali, gli attaccanti possono accedere facilmente ai sistemi vulnerabili e distribuire il ransomware.
  4. Elevazione dei privilegi
    Una volta all’interno della rete, gli attaccanti utilizzano tecniche per elevarsi a privilegi amministrativi, consentendo loro di installare il ransomware su più sistemi e di avere il controllo completo sulla rete della vittima.

Come prevenire l’attacco di SamSam ransomware

La prevenzione degli attacchi di SamSam richiede un approccio multifaccettato, incentrato sulla sicurezza informatica e sulle buone pratiche. Ecco alcuni consigli:

  • Effettuare regolarmente audit delle connessioni RDP e disabilitare quelle non necessarie.
    Per le connessioni necessarie, usare VPN e autenticazione a più fattori per aggiungere strati di sicurezza.
  • Mantenere aggiornati tutti i sistemi operativi e il software applicativo per proteggere contro le vulnerabilità note sfruttate dagli attaccanti.
  • Effettuare backup regolari e sicuri dei dati, preferibilmente tenendoli disconnessi dalla rete, per minimizzare il danno in caso di attacco.
  • Implementare strumenti di sicurezza che monitorano continuamente la rete per attività sospette, consentendo una rapida identificazione e risposta agli attacchi.