Uno dei pericoli maggiori per la sicurezza informatica globale ancora oggi sono il gruppo e il ransomware SamSam
Uno dei pericoli maggiori per la sicurezza informatica globale ancora oggi è rappresentato dal gruppo di cyber criminali chiamato SamSam. Questi da anni distribuiscono l’omonimo ransomware con varie evoluzioni. La formazione è salita alla luce della ribalta nel 2015, per poi diventare una minaccia cibernetica persistente (APT) l’anno successivo, dopo che infettò una serie di ospedali negli Usa chiedendo un riscatto per sbloccare i dati. Gli hacker malevoli sembra che siano spariti per circa un anno, per poi ritornare a gennaio del 2018 con un malware più potente. Presumibilmente la gang del cybercrime ha sviluppato i suoi tool e le tecniche di aggressione. ne ha fatto le spese l’ospedale MedStar, a cui è stato chiesto il pagamento di circa 18.500 (45 bitcoin) per riavere le proprie informazioni. La struttura, però, è riuscita a recuperare i dati, apparentemente senza sborsare soldi.
Quali sono le caratteristiche del malware
Per inoculare il ransomware SamSam nelle loro vittime, i criminali informatici usano diversi tipi di cyber attacchi. Da un’ampia serie di exploits ad aggressioni di brute-force. L’obiettivo è trovare un punto vulnerabile da cui penetrare nel sistema per diffondere il malware. Prima sono stati sfruttati i server di JBoss e poi i Remote Desktop Protocols (RDP), i server FTP e quelli Java. Una volta dentro, comincia il gioco. Secondo gli studi degli esperti di cyber security, per criptare i files viene usata la codifica RSA-2048. Un algoritmo lento ma molto efficace. Quando l’operazione è stata terminata, alla vittima viene inviata la richiesta di riscatto, con la possibilità di sbloccare un file gratis come segno di “fiducia”. Il problema del RSA è che basato sulla crittografia asimmetrica. Di conseguenza, servono 2 chiavi. Una pubblica e l’altra privata. E senza quest’ultima è impossibile sbloccare i files.
Il ransomware SamSam finora ha generato profitti per 850.000 $ e non si fermerà. Ecco alcuni consigli su come affrontarlo, se siete vittime
Il ransomware SamSam, peraltro, continua a dilagare su Internet nonostante tutti gli avvisi e i tentativi di bloccarlo. Finora, secondo gli analisti della sicurezza informatica, il gruppo di cyber criminali dietro al malware ha già rastrellato profitto per circa 850.000 dollari, ma potrebbero essere di più. Per cui, prestate massima attenzione. Se vi ha colpiti, mettete immediatamente offline e scollegate dalle eventuali reti il sistema infetto. Ciò eviterà la sua ulteriore diffusione (replicazione), soprattutto a livello di network. Se riuscite, circoscrivete l’area criptata in modo da effettuare una prima valutazione del danno. Poi, provate a vedere se esistono decrittatori. In questo senso siti come No more ransom! possono aiutare. Infine, rivolgetevi a un esperto. Intanto, se lo avete, usate le copie di back up dei file. Non prima, però, che siano state attentamente scansionate in modalità offline.
