Il malware viene spesso propagato da tecniche d’ingegneria sociale e tattiche di phishing.
In questo modo, è in grado di bersagliare utenti che non hanno familiarità con le minacce informatiche. SamSam ransomware adotta un approccio diverso, che è esattamente ciò che lo rende così pericoloso.

In quest’articolo, vedremo che cos’è SamSam ransomware, come funziona e alcuni suggerimenti pratici per evitare il suo rischio.

SamSam ransomware
  1. Una panoramica introduttiva sul SamSam ransomware
  2. Le cinque fasi di un attacco SamSam ransomware
  3. Che cosa contraddistingue un attacco SamSam ransomware?
  4. Suggerimenti per gestire un attacco SamSam
  5. Conclusioni sulla minaccia di SamSam ransomware

Una panoramica introduttiva sul SamSam ransomware

La prima versione del ransomware SamSam è stata scoperta alla fine del 2015 o all’inizio del 2016 e in precedenza si pensava che fosse stata distribuita da una banda di hacker dell’Europa orientale. Nel 2018, tuttavia, due individui iraniani sono stati accusati di criminalità informatica connessa al gruppo di SamSam ransomware. Il termine “SamSam” deriva dal nome del file del primo campione indentificato.

SamSam ransomware viene solitamente distribuito attraverso attacchi mirati che colpiscono i punti deboli di una rete aziendale, come ad esempio vulnerabilità note nei sistemi operativi o nei software di terze parti. Una volta che il malware viene installato, inizia a criptare i file del sistema e chiede al proprietario di pagare un riscatto per decifrarli.
SamSam ransomware è stato utilizzato in diversi attacchi con somme di riscatto onerose, come ad esempio l’attacco al sistema informatico del City of Atlanta nel 2018. I criminali informatici che utilizzano il SamSam ransomware spesso mirano a organizzazioni di grandi dimensioni che hanno una maggiore capacità di pagare il riscatto e che potrebbero essere disposte a farlo per evitare il down time o la perdita di dati importanti. Tuttavia, le aziende di piccola dimensione possono essere più vulnerabili agli attacchi di ransomware a causa di una minore disponibilità di risorse per la sicurezza informatica.

Le cinque fasi di un attacco SamSam ransomware

In generale, le fasi di un attacco di SamSam ransomware possono includere:

  1. Rilevamento delle vulnerabilità
    i criminali informatici che utilizzano il SamSam ransomware individuano le vulnerabilità nei sistemi della vittima, ad esempio attraverso la scansione di porte aperte o il tentativo di sfruttare vulnerabilità note in software di terze parti.
  2. Installazione del malware
    una volta individuate le vulnerabilità, i criminali informatici utilizzano strumenti di exploit per installare SamSam ransomware nel sistema della vittima.
  3. Criptazione dei file
    una volta installato, il SamSam ransomware inizia a criptare i file del sistema, rendendoli illeggibili.
  4. Richiesta di riscatto
    Una volta che i file sono stati crittografati, il SamSam ransomware visualizza un messaggio che richiede al proprietario del computer di pagare un riscatto per decifrarli.
  5. Decifrazione dei file
    se il riscatto viene pagato, i criminali informatici forniscono le chiavi di decifrazione per decifrare i file crittografati. Tuttavia, non c’è alcuna garanzia che i file verranno effettivamente decifrati anche se il riscatto viene pagato.

Diversamente dagli altri attacchi ransomware, SamSam viene spesso installato manualmente dai criminali informatici. Ciò può avvenire in diversi modi, come:

  • Accedendo fisicamente al sistema
    i criminali informatici potrebbero avere accesso fisico al sistema della vittima, ad esempio attraverso una presenza fisica nell’edificio o tramite il furto di laptop o altri dispositivi.
  • Accedendo alla rete
    i criminali informatici potrebbero accedere alla rete della vittima sfruttando la presenza di una vulnerabilità nota o attraverso il furto di credenziali di accesso.
  • Utilizzando software di accesso remoto
    i criminali informatici potrebbero utilizzare software di accesso remoto come TeamViewer o Remote Desktop per accedere al sistema della vittima da remoto.

L’accesso manuale rende più difficile per gli utenti finali rilevare l’infezione, poiché il malware viene installato direttamente da un attaccante invece che diffondersi automaticamente. Ciò rende anche più difficile per gli esperti di sicurezza informatica individuare l’origine dell’attacco e proteggere i sistemi dalle future infezioni.

Che cosa contraddistingue un attacco SamSam ransomware

È fondamentale non sottostimare un attacco SamSam ransomware, poiché può essere particolarmente pericoloso e devastante per le organizzazioni. Di seguito alcune ragioni:

  • Targeting selettivo: SamSam spesso mira specificamente a organizzazioni con sistemi vulnerabili e con una maggiore capacità di pagare il riscatto.
  • Accesso manuale: a differenza di molti altri tipi di ransomware, SamSam viene spesso installato manualmente dai criminali informatici, invece che tramite spam o phishing. Ciò rende più difficile per gli utenti finali rilevare l’infezione.
  • Riscatti elevati: SamSam chiede solitamente riscatti elevati, spesso superiori a 100.000 dollari, per decrittografare i file.
  • Crittografia robusta: SamSam utilizza una crittografia robusta che rende difficile o quasi impossibile decrittografare i file senza pagare il riscatto.
  • Attacchi di successo: SamSam è stato responsabile di alcuni degli attacchi ransomware più costosi e devastanti, come il furto di 4 milioni di dollari dalla città di Atlanta nel 2018.
  • Evoluzione continua: SamSam continua a evolvere e ad aggiornare le sue tecniche per eludere la difesa degli utenti. Ciò rende difficile per le organizzazioni proteggersi dalle future infezioni.

Suggerimenti per gestire un attacco SamSam

Se si sospetta di essere stati colpiti da un attacco SamSam, è importante agire rapidamente per proteggere il sistema e prevenire ulteriori danni. Ecco alcuni passaggi che si possono seguire per rispondere a un attacco SamSam:

  1. Isolate il sistema infetto: disconnettere il sistema dalla rete aziendale e impedire l’accesso alle risorse di rete, in modo da prevenire la diffusione del malware ad altri sistemi.
  2. Rivolgersi al proprio fornitore di servizi cybersecurity e richiedere supporto.
  3. Patchare le vulnerabilità: assicurarsi che tutte le vulnerabilità di sistema siano applicate con successo, in modo da impedire a ulteriori attacchi di malware d’infiltrarsi nel sistema.
  4. Implementare misure di sicurezza: adottare misure di sicurezza aggiuntive, come la formazione degli utenti sulla sicurezza e l’implementazione di soluzioni di protezione delle email e dei sistemi di rete, per proteggere il sistema da futuri attacchi di ransomware.

Infine, è indispensabile segnalare l’attacco alle autorità competenti.

Conclusioni sulla minaccia di SamSam ransomware

La diffusione di questo tipo di crypto-virus può rappresentare una sfida per le organizzazioni colpite, poiché può causare la perdita di dati importanti e interrompere le attività aziendali.

Ci sono diverse sfide legate al SamSam ransomware:

  1. Prevenzione: prevenire l’infezione da ransomware può essere difficile, poiché i cyber criminali utilizzano diverse tecniche per diffondere il malware, come inviare email di phishing o sfruttare vulnerabilità note nei sistemi. Si devono implementare misure di sicurezza adeguate, come l’utilizzo di software antivirus aggiornato e la formazione del personale su come riconoscere ed evitare tentativi d’infezione da parte di ransomware.
  2. Rilevamento: identificare l’infezione da ransomware può essere difficile, poiché il malware può agire in modo silente e non presentare segni evidenti della sua presenza. È possibile utilizzare strumenti di monitoraggio della sicurezza e tenere traccia delle attività anomale sul sistema per individuare tempestivamente l’infezione da ransomware.
  3. Risposta: una volta che l’infezione da ransomware è stata individuata, si deve agire rapidamente per minimizzare i danni. Ciò può includere la disconnessione del sistema dalla rete per evitare la diffusione del malware.
  4. Ripristino: dopo che il ransomware è stato rimosso, è importante ripristinare i sistemi e i dati dai backup per riprendere le attività normali. Ciò può richiedere tempo e risorse significative, a seconda dell’entità dell’attacco e della quantità di dati crittografati.