O Samas ransomware (também conhecido como “Samsam”) existe desde 2016. Este ransomware recebeu muita atenção, por trás de incidentes altamente divulgados que afetam a Allscripts Software Company e a cidade de Atlanta.

Ao contrário de outros ransomwares predominantes como o WannaCry e o NotPetya, o Samas não se espalha usando métodos tradicionais, como entrega de exploração de email ou atacando computadores vulneráveis ​​diretamente. Embora se saiba que os atores Samas atacam hosts vulneráveis ​​do JBoss, eles geralmente entram em sistemas de perímetro exposto, forçando brutalmente o RDP e obtendo acesso com êxito a máquinas com senhas de administrador local fracas ou compartilhadas. Eles então se movem lateralmente usando credenciais administrativas capturadas.

O Samas se destaca por causa das técnicas de persistência e movimento lateral, normalmente associadas a campanhas que não são de ransomware, projetadas para exfiltrar dados. O rastreamento de transações de bitcoin revela que esta campanha foi incrivelmente lucrativa, com muitas vítimas pagando resgate sem denunciar o crime.

Embora os atores do Samas sejam claramente adaptáveis ​​e prontos para mudar de tática conforme necessário, eles conseguiram comprometer suas vítimas devido à proteção insuficiente por firewall e antivírus e o uso de senhas de administrador local não aleatórias.

Os atores da Samas começam usando servidores de verificação descartáveis ​​e de baixa reputação para procurar servidores RDP com pontos fracos, como aqueles que não estão atrás da autenticação no nível da rede (NLA) ou de um gateway de autenticação multifator (MFA). Eles então forçam com força as senhas de administrador local dos servidores RDP expostos.

Depois de obter acesso de administrador local a um servidor RDP, os atores do Samas mudam para um servidor que possui um registro limpo nos principais serviços de reputação e geralmente hospedado por pequenos fornecedores comerciais. Eles usam esse novo servidor pelo resto do ataque para evitar a atribuição e a consequente interrupção de suas outras operações.

Os atores da Samas normalmente continuam a usar o RDP, mapeando ou compartilhando unidades locais para inserir suas ferramentas no ambiente comprometido e persistir. A partir dessa posição inicial, eles usam ferramentas de roubo de credenciais como Mimikatz e captura de memória bruta, aproveitando as contas de serviço com privilégios excessivos, incluindo aquelas com privilégios de administrador de domínio.

Durante um ataque, os atores do Samas normalmente obtêm acesso a várias contas, mas não usam todas elas. Os atores podem estar reservando intencionalmente essas contas de "backdoor" para recuperar o acesso depois que as vítimas pagaram o resgate e realizaram esforços de recuperação.

Após proteger credenciais privilegiadas, os atores do Samas examinam a rede interna em busca de outras máquinas, usando ferramentas disponíveis no mercado, como o Masscan, ou suas próprias ferramentas personalizadas. Eles são conhecidos por eliminar backdoors adicionais, incluindo ferramentas de proxy SOCKS. Eles também parecem aproveitar os servidores SQL mal configurados e demonstraram interesse em comprometer as contas de serviço do SQL Server Agent (sqlagent).

Ao examinar as consultas de nome principal de serviço (SPN) e as pesquisas de nome de servidor executadas pelos atores, bem como a aparência de dados extraídos, os atores parecem procurar dados específicos antes de abandonar sua carga útil de ransomware. Eles também costumam permanecer na rede por dias ou até semanas antes de implantar o ransomware.

A implantação do ransomware em si é feita em fases. Pesquisadores da Microsoft descobriram arquivos de teste aparecendo em sistemas antes de o ransomware ser descartado e iniciado, o que geralmente requer interação direta do ator. Para garantir que a carga útil do ransomware seja eficaz, os atores limpam os backups usando os utilitários de cópia de sombra de volume.

Os pesquisadores da Microsoft acreditam que há vários indivíduos por trás da campanha Samas, principalmente devido à variação nos artefatos de mapeamento de unidades de RDP e comportamentos de ataque durante os diferentes estágios da campanha. Vimos a atividade do ator entre as 12:00 e as 18:00 UTC, possivelmente indicando sua localização.

Os atores Samas parecem estar se expandindo e utilizando outras tecnologias de ransomware, incluindo o Gandcrab ransomware como um serviço e possivelmente o Bitpaymer.

Mitigações
Aplique essas atenuações para reduzir o impacto dessa ameaça. Verifique o cartão de recomendações para o status de implementação das mitigações monitoradas.

• Utilize o Windows Defender Firewall e o firewall da rede para impedir a comunicação RPC e SMB entre os terminais sempre que possível. Isso limita o movimento lateral, bem como outras atividades de ataque.
• Proteja serviços RDP voltados para a Internet atrás de um gateway de autenticação multifator (MFA). Se você não tiver um gateway MFA, ative a autenticação no nível da rede (NLA) e verifique se as máquinas servidor possuem senhas de administrador local aleatórias e fortes.
• Aplique senhas fortes e aleatórias de administrador local. Use ferramentas como o LAPS.
• Pratique o princípio do menor privilégio e mantenha a higiene das credenciais. Evite o uso de contas de serviço em nível de administrador e em todo o domínio.
• Monitore as tentativas de força bruta. Verifique tentativas de autenticação com falha excessiva (ID de evento de segurança do Windows 4625).
• Entenda e controle a exposição do perímetro. Os ataques de Samas geralmente começam com máquinas que não estão no inventário de ativos, mas ainda são membros do domínio primário do Active Directory e geralmente têm senhas de administrador local correspondentes ou contas de serviço com credenciais de domínio altamente privilegiadas que fazem logon nelas.
• Ative a proteção fornecida na nuvem e o envio automático de amostras no Windows Defender Antivírus. Esses recursos usam inteligência artificial e aprendizado de máquina para identificar e interromper rapidamente ameaças novas e desconhecidas.