Expertos en seguridad informan que un número importante de instituciones (sobre todo estadounidenses) se han visto afectadas por este ransomware, bautizando con el nombre SamSam y basado en SAMAS. De nuevo, los ciberdelincuentes centran sus esfuerzos en entidades públicas.
Algunos hospitales habrían pagado incluso el rescate solicitado por recuperar el acceso a los datos afectados, incluso disponiendo de una copia de seguridad que permitiría recuperar una cantidad importante de la información afectada.
Detalles de SamSam
Expertos en seguridad indican que el funcionamiento es más o menos similar al de otras amenazas. Lo primero que observan los usuarios es que, en el escritorio, aparece un archivo con el nombre 0000-SORRY-FOR-FILES.html. Si se abre utilizando un navegador web, se puede ver como son las instrucciones que hay que seguir para llevar a cabo el descifrado de la información. Analisis en VirusTotal.
Aquí es donde empieza lo que podríamos considerar “nuevo”. Para acceder a todo el proceso para realizar el pago y obtener el código de desbloqueo, el usuario debe instalar Tor Browser. La cantidad a abonar es de 0,7 Bitcoin para 1 PC afectado o 3 si se quieres para todos los PCs afectados.
Ni que decir tiene que todos los equipos afectados son Windows, familia de sistemas operativos para los que ha sido programada esta amenaza.
26 BTC = 300.000 dólares ganados
Teniendo en cuenta que la campaña solo lleva en funcionamiento dos semanas y que por el momento solo hay 3 entidades afectadas, podría decirse que es una cantidad a tener en cuenta. Los expertos en seguridad indican que a esta campaña le podrían quedar aún 3 semanas. Obviamente, una vez finalizada esa, si ha sido exitosa comenzarán una nueva y ampliando los horizontes.
Aunque se piense que de nuevo los mensajes de correo electrónicos son los protagonistas, hay que decir que esto no es así. Podría decirse que el trabajo es mucho más artesanal. Utilizan conexiones RDP no seguras o con contraseñas disponibles en diccionarios de Internet hacer uso del servicio y copiar el malware sin que el usuario se percate de lo que sucede. Cuando el usuario trata de hacer algo, los archivos ya están cifrados.
Antes estos casos, las únicas dos vías de salida son la restauración del equipo a un estado anterior o bien recurrir a copias de seguridad y llevar a cabo el formateo completo del equipo. Tal vez la segunda vía sea la más recomendada.
Una vez más, queda demostrado que la seguridad existente en equipos pertenecientes a instituciones y entidades públicas deja mucho que desear, siendo el blanco más fácil para los ciberdelincuentes, incluso más que los usuarios particulares.