In tre anni, ha rastrellato con i suoi ricatti circa 6 milioni di dollari. SamSam è un ransomware campione dì'incassi, in circolazione dal 2015 ma ancora capace di stupire i ricercatori di sicurezza a distanza di anni. Sophos ha realizzato un suo identikit svelando alcuni dei suoi “segreti”, con un'indagine a cui hanno contribuito diverse altre aziende di cybersicurezza e dintorno (fra cui anche l'italiana Neutrino, specializzata in analisi di intelligence sulle cryptovalute). Mentre la maggior parte dei ransomware puntano a contagiare quanti più sistemi senza una logica precisa, così da poter inoltrare decine o anche centinaia di richieste di “riscatto” anche di piccola entità, SamSam agisce in modo mirato con attacchi confezionati su misura per specifici bersagli.
Il criminale informatico che ne fa uso è solitamente una persona esperta, che riesce a intrufolarsi nella rete della vittima, ad analizzarla e a installare in malware manualmente. Si cerca quindi di causare il massimo danno possibile per poi avanzare richieste di riscatto molto salate, anche di decine di migliaia di dollari. Un'altra peculiarità riguarda il metodo di diffusione di questo programma malevolo: a differenza del famigerato WannaCry, che ha sfruttato una vulnerabilità del software per moltiplicarsi creando copie di se stesso da un sistema all'altro, SamSam viene distribuito sui computer del network della vittima nello stesso modo e con gli stessi strumenti di applicazioni legittime.
Finora, sulla base delle vittime già note, si pensava che gli attacchi di SamSam fossero diretti specificamente ai settori della sanità, dell'istruzione e ai governi. Questa ipotesi è però stata smentita da Sophos, che grazie alla collaborazione con Neutrino ha potuto letteralmente “seguire” i movimenti di denaro, identificando molti pagamenti di riscatto e tipologie di vittime di cui non si sapeva nulla. In molti casi, infatti, chi subisce il ricatto di un ransomware evita di fare denuncia. SamSam ha dunque fatto più danni di quanto non si pensasse, infettando non solo reti aziendali o della Pubblica Amministrazione ma anche quelle dei privati. Secondo le stime di Sophos, i guadagni illeciti di questo ransomware ammontano a quasi 6 milioni di dollari, circa sei volte più delle stime fatte recentemente.
A differenza di ransomware come WannaCry o NotPetya, SamSam non ha alcuna funzionalità worm-like o virus, quindi non può diffondersi da solo ma al contrario richiede all'hacker di eseguire alcune azioni sulla rete. L'orario dell'attacco varia a seconda del fuso orario della vittima ovvero si cerca di agire di notte, quando la persona sta presumibilmente dormendo. L'hacker accede alla rete tramite Remote Desktop Protocol, utilizzando software come NLBrute per azzeccare quale sia la password corretta (il giochetto funziona bene sulla credenziali deboli).
Una volta ottenuto l'accesso, il criminale informatico usa una varietà di strumenti per elevare i propri privilegi fino al livello di Domain Admin. Quindi esegue una scansione della rete per andare alla ricerca di obiettivi “preziosi”, dopodiché il malware viene installato ed eseguito come se fosse un qualsiasi software, tramite utility quali PsExec o PaExec.
La procedura viene ripetuta su più reti, diffondendo così un certo numero di copie del ransoware. Queste ultime vengono poi “innescate” quasi in contemporanea, centralmente, ed entrano in azione crittografando i file sul computer della vittima. Si cerca così di causare quanti più danni in breve tempo. Parte poi la richiesta del riscatto e si attende che la vittima esegua il pagamento attraverso il sito del Dark Web indicato. In media, la pretesa è di circa 60.000 dollari, molto più dei centinaia o mille solitamente richiesti dai classici ransomware.
Come difendersi? In primo momento pareva che SamSam si diffondesse su reti e dispositivi contenenti vulnerabilità. Queste prime infezioni hanno creato un “punto d'appoggio” per il ransomware, che ha poi continuato a moltiplicarsi attraverso la procedura sopra descrittta, cioè con la forzatura delle credenziali Rdp. Sophos consiglia di aggiornare sempre i software, di eseguire regolarmente scansioni di vulnerabilità e test di penetrazione e di evitare le password deboli. Se poi avremo fatto dei backup dei dati (offline e offsite), allora in caso di infezione potremo salvare almeno il salvabile.