Botiquín
21 Ago 2018

La mejor defensa contra el Ransomware SamSam

por | publicado en: Malware, Seguridad, Seguridad (Sistema Operativo) | 0
 
 

Índice General

  1. Introducción
  2. El ransomware SamSam

 

  1. Introducción (Volver al índice General)
    Cada día que pasa los ciberataques son más sofisticados, en la mayoría de los casos, ni siquiera somos conscientes de que estamos siendo atacados, los atacantes utilizan nuestros dispositivos para crear botnets y utilizarlos como pasarelas para acceder o atacar a otros dispositivos, o para recabar información sobre nosotros, contraseñas, que visitamos en internet, nuestros contactos, nuestra correspondencia, que software utilizamos, etc. En estos casos, al escritor del malware le interesa que su creación pase desapercibida.

    Por otro lado están los ciberataques en los que si que nos enteramos que hemos sido atacados, ataques en los que perdemos información y se nos reclama un pago por volver a recuperarla, ataques de malware del tipo ransomware SamSam. En este artículo hablaremos sobre como defendernos del ransomware SamSam y aplicable a la defensa de ransomware en general.

  2. El ransomware SamSam (Volver al índice General)
    La técnica del ransomware SamSam es la de un ataque dirigido y controlado por un equipo de personas cualificado, que penetra en la red de la víctima la vigila y luego ejecuta el malware manualmente. De esta forma se asegura causar el mayor daño posible y poder exigir un rescate considerable.
    Se diferencia del ransomware tradicional en que no se propaga a través de campañas de spam enviadas a miles de usuarios. El reducido número de víctimas lo han hecho pasar desapercibido y ha impedido que se conozcan los detalles de cómo funciona y cómo se desarrollan los ataques.

    Según un estudio de Sophos actualmente suma los casi 6 millones de dólares de recaudación. El sector privado ha sido el más atacado por SamSam.

    • Cómo ataca SamSam (Volver al índice General)
      SamSam escanea las redes de las víctimas para definir los dispositivos a cifrar, obtiene acceso a las redes de las víctimas a través de RDP (Protocolo de escritorio remoto), mediante el uso de herramientas como NLBrute (permite probar una amplia gama de contraseñas RDP). Estos ataques tienen en cuenta la zona horaria de la víctima, ya que se realizan durante la noche mientras las víctimas duermen.

      SamSam, a diferencia de otros ransomware como WannaCry o NotPetya, no es un gusano o virus, esto implica que no se propaga por si mismo, depende del factor humano para propagarse, una persona está detrás de él (el operador), una persona que vigila a la víctima y adapta sus tácticas de ataque en función del entorno y de las defensas encontradas.

      SamSam se despliega en los ordenadores de la red de la víctima de la misma forma que se despliegan las aplicaciones de software legítimas.

      Tras obtener el acceso a una red, el operador de SamSam usará distintas herramientas para escalar sus privilegios al nivel de administrador. A continuación, escaneará la red en busca de objetivos valiosos para luego, ejecutar el malware como lo haría cualquier administrador de sistemas, utilizando PsExec o PaExec para ejecutar aplicaciones de forma remota.
      Una vez que se ha extendido, las múltiples copias de SamSam se activan en segundos. En cada dispositivo infectado los archivos se cifran e intentará causar el mayor daño en el menor tiempo posible.

      Cuando los dispositivos ya están infectados, el atacante solo tiene que esperar a que la víctima se ponga en contacto con él, a través de un sitio de pago en la Dark Web referenciado en la nota de rescate.

    • Cómo defendernos de SamSam (Volver al índice General)
      A día de hoy no existe ninguna herramienta que, de forma rápida, nos permita recuperar toda nuestra información secuestrada. En estos momentos la mejor defensa contra SamSam pasa por seguir una serie de consejos que os enumeramos a continuación.

      1. Actualizar los parches de seguridad de nuestro sistema operativo y aplicaciones instaladas.
      2. Utilizar contraseñas robustas.
      3. Permitir el acceso por RDP (Protocolo de escritorio remoto) solo a usuarios que se conectan a través de una VPN.
      4. Usar autenticación de múltiples factores para acceso VPN y sistemas internos sensibles.
      5. Realizar copias de seguridad offline en lugares inaccesibles para el dispositivo infectado, como por ejemplo discos duros externos. Evita que el Ransomware acceda a ellas, lo que ayuda a restaurar los datos en caso de infección.

 

Espero que este artículo os haya sido de utilidad. Si pensáis que podéis colaborar para mejorar este artículo, que hay algo erróneo en él o simplemente deseáis comentarlo, por favor, dejad vuestra opinión más abajo.
  Configuración de privacidad y de cookies.
Seguir J. Carlos:

Técnico Informático - Desarrollo Web - Administración de Redes

Técnico Informático. Desarrollo Web. Administración de redes.

Últimas publicaciones de

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.